Ir para conteúdo


Foto
- - - - -

Como Instalar E Configurar O Config Server Firewall (csf) No Ubuntu

Segurança Ubuntu Linux Firewall Csf Debian

  • Por favor, faça o login para responder
Não há respostas para este tópico

#1 Rodolfo Matias

Rodolfo Matias

    Iniciante

  • Membros
  • Pip
  • 9 posts
  • 9 topics
  • País:Brasil
  • LocalizaçãoSão Paulo - SP

Postado 07 novembro 2014 - 12:47

Introdução

Configuração Server Firewall (ou CSF) é um firewall livre e avançada para a maioria das distribuições Linux e VPS baseados em Linux. Além da funcionalidade básica de um firewall - filtrando pacotes - CSF inclui outros recursos de segurança, como detecções de login / intrusão / inundação. CSF inclui a integração da interface do usuário para cPanel, DirectAdmin e Webmin, mas este tutorial cobre somente o uso de linha de comando. CSF é capaz de reconhecer muitos ataques, tais como varreduras de portas, inundações SYN, e login ataques de força bruta em muitos serviços. Ele é configurado para bloquear temporariamente os clientes que estão a ser detectados atacando o servidor em nuvem.

A lista completa de sistemas operacionais suportados e os recursos podem ser encontrados no site da ConfigServer .

Este tutorial é escrito para VPS baseados em Debian, como o Debian e Ubuntu. Os comandos devem ser executados com permissões de root, fazendo o login como root, ou iniciar um shell de root com o seguinte comando sudo se está instalado:

sudo su

Nota: Este tutorial aborda segurança IPv4. No Linux, segurança IPv6 é mantida separadamente do IPv4.Por exemplo, "iptables" só mantém regras de firewall para endereços IPv4, mas tem uma contrapartida IPv6 chamado "ip6tables", que pode ser usado para manter as regras de firewall para endereços de rede IPv6.

Se o VPS está configurado para IPv6, por favor lembre-se de proteger ambas as interfaces de rede IPv4 e IPv6 com as ferramentas adequadas. 

 
Características

Configuração Server Firewall oferece uma ampla gama de proteções para o seu VPS.

Falha de autenticação de login daemon:

CSF verifica os logs de tentativas de login em intervalo de tempo regular, e é capaz de reconhecer tentativas mais não autorizadas para obter acesso ao seu servidor de nuvem. Você pode definir a ação desejada CSF leva e depois de quantas tentativas no arquivo de configuração.

Os seguintes aplicativos são suportados por este recurso:

  • Courier IMAP, Dovecot, uw-imap, Kerio
  • OpenSSH
  • cPanel, (servidores cPanel apenas) WHM, Webmail
  • Pure-ftpd, vsftpd, Proftpd
  • Protegido por senha páginas web (htpasswd)
  • Falhas mod_security (V1 e V2)
  • Falhas suhosin
  • Exim SMTP AUTH

Além desses, você pode definir seus próprios arquivos de login com correspondência de expressão regular. Isso pode ser útil se você tiver um aplicativo que registra logins falhos, mas não bloquear o usuário após determinado número de tentativas.

Controle de processos

CSF pode ser configurado para acompanhar processos, a fim de detectar os processos suspeitos ou portas de rede abertas, e enviar um e-mail para o administrador do sistema se algum for detectado. Isso pode ajudá-lo a identificar e deter um possível ataque em seu VPS.

Observação de diretório

Directório assistindo monitores a / temp e outras pastas relevantes para scripts maliciosos, e envia um e-mail para o administrador do sistema quando um é detectado.

Serviço Messenger

A ativação deste recurso permite CSF para enviar uma mensagem mais informativa para o cliente quando um bloco é aplicado. Esse recurso tem os prós e contras. Por um lado, permitindo que ele fornece mais informações para o cliente e, portanto, pode causar menos frustração por exemplo em caso de logins que falharam. Por outro lado, este fornece mais informações, o que pode tornar mais fácil para um atacante para atacar seus VPS.

Porto de protecção contra inundações

Essa configuração fornece proteção contra ataques de inundação de porta, como negação de serviço (DoS) ataques. Você pode especificar a quantidade de conexões permitidas em cada porta dentro do período de tempo de sua preferência. A ativação desse recurso é recomendado, uma vez que pode, eventualmente, impedir que um invasor forçar seus serviços para baixo. Você deve prestar atenção ao que limita você definir, como configurações muito restritivas vai cair conexões de clientes normais. Então, novamente, ajustes muito permissivos pode permitir que um invasor para ter sucesso em um ataque de inundação.

Porto batendo

Porto batendo permite que os clientes para estabelecer conexões de um servidor sem portas abertas. O servidor permite que os clientes se conectam aos principais portos somente depois de um porta sucesso bater sequência. Você pode encontrar este útil se você oferecer serviços que estão disponíveis para audiência limitada apenas.

Leia mais sobre porta batendo

Protecção limite de conexão

Esta característica pode ser usada para limitar o número de ligações simultâneas activas de um endereço IP de cada porta. Quando configurado corretamente, isso pode impedir os abusos no servidor, tais como ataques DoS.

Endereço de redirecionamento de porta / IP

CSF pode ser configurado para redireccionar ligações a uma rede IP / IP para outro porta / porta. Nota: Depois de redirecionamento, o endereço de origem do cliente será o endereço IP do servidor. Este não é um equivalente de tradução de endereços de rede (NAT).

Integração UI

Além de interface de linha de comando, CSF também oferece integração UI para cPanel e Webmin. Se você não estiver familiarizado com a linha de comando do Linux, você pode encontrar esse recurso útil.

Listas de bloqueio de IP

Este recurso permite CSF para baixar listas de endereços IP bloqueados automaticamente a partir de fontes definidas por você.

 

 
Instalando ConfigServer Firewall
 
Passo 1: Transferir

Configuração Server Firewall não está disponível nos repositórios do Debian ou Ubuntu, e tem de ser baixado do site da ConfigServer.

wget http://www.configser...livre / csf.tgz

Isto irá baixar CSF no seu diretório de trabalho atual.

 
Passo 2: Uncompressing

O arquivo baixado é um comprimido do pacote de alcatrão, e tem de ser descomprimido e extraído antes que possa ser usado.

tar -xzf csf.tgz

 
Etapa 3: Instalar

Se você estiver usando outros scripts de configuração de firewall, como UFW, você deve desativá-lo antes de continuar. Regras do iptables são removidos automaticamente.

UFW pode ser desativado, executando o seguinte comando:

ufw disable

Agora é hora de executar o script de instalação do CSF.

cd csfsh install.sh

O firewall agora está instalado, mas você deve verificar se os módulos de iptables necessárias estão disponíveis.

perl / usr / local / CSF / bin / csftest.pl

O firewall irá funcionar se não há erros fatais são relatados.

Nota: O seu endereço de IP foi adicionado à lista de permissões, se possível. Além disso, a porta SSH foi aberto automaticamente, mesmo se ele utiliza a porta personalizado. O firewall também foi configurado para ter modo de teste ativado, o que significa que as regras do iptables será removido automaticamente cinco minutos após o início CSF. Este deve ser desativado quando você sabe que a sua configuração funciona, e você não vai ser bloqueada.

 
Configuração básica

CSF pode ser configurado editando seu arquivo de configuração csf.conf em / etc / csf:

nano /etc/csf/csf.conf

As alterações podem ser aplicados com o comando:

CSF -r

 
Passo 1: Configuração de portas

A menos acesso que existe para seus VPS, mais segura é o seu servidor. No entanto, nem todas as portas podem ser fechadas como os clientes devem ser capazes de usar seus serviços.

As portas abertas por padrão são os seguintes:

TCP_IN = "20,21,22,25,53,80,110,143, 443.465.587.993.995 "

TCP_OUT = "20,21,22,25,53,80,110,113, 443 "

UDP_IN = "20,21,53"

UDP_OUT = "20,21,53,113,123"

Serviços usando as portas abertas:

  • Porta 20: transferência de dados FTP
  • Porta 21: controle FTP
  • Porta 22: Secure Shell (SSH)
  • Porta 25: Simple Mail Transfer Protocol (SMTP)
  • Porta 53: Domain Name System (DNS)
  • Porta 80: protocolo de transferência de hipertexto (HTTP)
  • Porta 110: Post Office Protocol v3 (POP3)
  • Porto 113: O serviço de autenticação protocolo / identificação
  • Porto 123: Network Time Protocol (NTP)
  • Porto 143: Internet Message Access Protocol (IMAP)
  • Porta 443: Hypertext Transfer Protocol sobre SSL / TLS (HTTPS)
  • Porta 465: URL Rendesvous Directory para SSM (Cisco)
  • Porta 587: envio de mensagem de E-mail (SMTP)
  • Porta 993: Internet Message Access Protocol sobre SSL (IMAPS)
  • Porta 995: Post Office Protocol 3 sobre TLS / SSL (POP3S)

É possível que você não está usando todos estes serviços, para que possa fechar as portas que não são usados. Eu recomendaria fechando todas as portas (removendo número da porta formam a lista), e, em seguida, adicionando as portas que você precisa.

Abaixo são conjuntos de portas que devem ser abertas se você estiver executando o serviço listado:

Em qualquer servidor:

TCP_IN: 22,53
TCP_OUT: 22,53,80,113,443
UPD_IN: 53
UPD_OUT: 53113123

Apache:

TCP_IN: 80.443

Servidor FTP:

TCP_IN: 20,21
TCP_OUT: 20,21
UPD_IN: 20,21
UPD_OUT: 20,21

Servidor de correio:

TCP_IN: 25.110.143.587.993.995
TCP_OUT: 25.110

Servidor MySQL (se o acesso remoto é necessária)

TCP_IN: 3306
TCP_OUT: 3306

Nota: Se você estiver usando IPv6 para seus serviços, você também deve configurar TCP6_IN, TCP6_OUT, UPD6_IN, e UPD6_OUT da mesma forma como portas IPv4 foram configurados anteriormente.

Você pode encontrar uma lista completa de portas TCP e UDP na Wikipedia . Você deve abrir as portas de todos os serviços que você usa.

 
Passo 2: Configurações adicionais

CSF oferece um vasto número de opções diferentes em seus arquivos de configuração. Algumas das configurações mais usadas são explicados abaixo.

ICMP_IN Definir ICMP_IN para 1 permite ping para o servidor e 0 são recusa esses pedidos. Se você está hospedando quaisquer serviços públicos, recomenda-se a permitir que os pedidos ICMP, como estes podem ser usados ​​para determinar se ou não o seu serviço está disponível.

ICMP_IN_LIMIT Define o número de ICMP (ping) solicitações permitidas de um endereço IP dentro de um determinado período de tempo. Normalmente não há necessidade de alterar o valor padrão (1 / s)

DENY_IP_LIMIT Define o número de IP bloqueados aborda CSF mantém o controle de. Recomenda-se a limitar o número de endereços IP negados como tendo muitos blocos podem retardar o desempenho do servidor.

DENY_TEMP_IP_LIMIT mesmo que acima, mas para blocos de endereços IP temporários.

PACKET_FILTER inválido Filter, indesejado e pacotes ilegais.

Synflood, SUNFLOOD_RATE e SYNFLOOD_BURST Isso oferece proteção contra ataques de inundação SYN. Isso retarda a inicialização de cada conexão, assim que você deve habilitar isso só se você sabe que seu servidor está sob ataque.

ConnLimit Limita o número de conexões ativas simultâneas em porta.

Valor:

22; 5; 443; 20

permitiria 5 conexões simultâneas na porta 22 e 20 conexões simultâneas na porta 443.

PORTFLOOD Limita o número de conexões por intervalo de tempo que novas conexões podem ser feitas a portas específicas.

Valor:

22; tcp; 5; 250

limitaria bloquear o endereço IP se mais de cinco conexões são estabelecidas na porta 22 usando o protocolo TCP até 250 segundos. O bloco é removido uma vez 250 segundo ter passado após o último pacote enviado pelo cliente para essa porta. Você pode adicionar mais portas separando-os por vírgulas, como descrito abaixo.

port1; Protocolo1; connection_ count1; time1, port2; Protocolo2; connection_count2; time2

Mais configurações

CSF oferece uma ampla gama de configurações que não são abordados neste tutorial. Os valores padrão são geralmente boa, e pode ser utilizado em praticamente qualquer servidor. As configurações padrão são configurados para evitar a maioria dos ataques de inundação, varreduras de portas e tentativas de acesso não autorizado.

Se você gostaria, no entanto, gostaria de ajustar a configuração com mais detalhes, por favor leia os comentários em /etc/csf/csf.conf e editá-los como você gosta.

 
Passo 3: aplicar as alterações

Sempre que você está alterando as configurações em csf.conf, você deve salvar os arquivos e reiniciar CSF para que as alterações entrem em vigor.

Quando estiver pronto com a configuração, feche o arquivo pressionando Ctrl + X. Quando lhe for perguntado se pretende guardar as alterações ou não, pressione Y para salvar as alterações.

Após isso, você deve aplicar as alterações por reiniciar CSF com o comando:

CSF -r

Se tudo correr como planejado, e você ainda são capazes de acessar o servidor, abra o arquivo de configuração mais uma vez:

nano /etc/csf/csf.conf

e altere a configuração testes no início do arquivo de configuração para 0 como mostrado abaixo:

ENSAIO = "0"

Salve o arquivo, e aplicar as alterações com o comando:

CSF -r

 
Bloqueio e permita que os endereços IP

Uma das características mais básicas de um firewall é a capacidade de bloquear determinados endereços IP. Você pode negar (lista negra), permitem (whitelist) ou ignorar endereços IP editando os arquivos de configuração csf.deny, csf.allow e csf.ignore.

Bloqueio de endereços IP

 

Se você gostaria de bloquear um endereço IP ou um intervalo, csf.deny aberto.

nano /etc/csf/csf.deny

Bloqueado endereços IP ou intervalos de todas as reservas uma linha no arquivo csf.deny. .. Se você gostaria de bloquear o endereço IP 1.2.3.4, assim como faixa IP 2,3 * *, você deve adicionar as seguintes linhas para o arquivo:

1.2.3.4
2.3.0.0/16

Intervalos de IP são representados usando o notação CIDR

Permitindo endereços IP

Se você gostaria de um endereço IP ou intervalo a ser excluído de todos os blocos e filtros, você pode adicioná-los à csf.allow arquivo. Por favor, note que permitiu que os endereços IP são permitidos, mesmo que sejam explicitamente bloqueada no arquivo csf.deny.

Permitir que os endereços IP funciona de forma semelhante para bloqueá-los. A única diferença é que você deve editar /etc/csf/csf.allow em vez de csf.deny.

nano /etc/csf/csf.allow

Ignorar endereços IP

CSF também oferece capacidade de excluir endereços IP a partir dos filtros do firewall. Endereços IP em csf.ignore irá ignorar os filtros de firewall, e só pode ser bloqueada se listada no arquivo csf.deny.

nano /etc/csf/csf.ignore

A fim de alterações tenham efeito, você deve reiniciar CSF após editar qualquer um dos arquivos descritos acima com o comando:

CSF -r






0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos