CSF là viết tắt của ConfigServer Security & Firewall – là một firewall phổ biến và nổi tiếng được sử dụng nhiều trên các server Linux hiện nay. Bên cạnh những tính năng cơ bản như một firewall, CSF còn có những chức năng bảo mật nâng cao khác như ngăn chặn flood login, port scans, SYN floods…
Tại bài viết này sẽ hướng dẫn bạn cài đặt và config cơ bản trên CSF.
Trên hướng dẫn này đang được thực hiện trên hệ điều hành Centos 7.
Bước 1: Cài đặt CSF.
Trước tiên hãy cài đặt một số thư viện cần thiết,
yum install perl-libwww-perl -y
Tiếp theo hãy tải file csf.tgz trên trang chủ của CSF
Nếu trên server chưa được cài đặt wget hãy cài đặt nó với một bước đơn giản:
yum instal wget -y
Giải nén và cài đặt.
tar -xzf csf.tgz
cd csf
sh install.sh
Sau khi cài đặt hãy kiểm tra status của CSF:
service csf status
Ban đầu khi cài đặt sẽ là disabled
Bước 2. Config CSF.
1, Open port
Để thực hiện Open port mà bạn muốn hãy mở file sau:
vi /etc/csf/csf.conf
Tìm đến dòng 139, tại đây bạn hãy thêm hoặc xóa bỏ các port mà bạn không muốn bên ngoài kết nối vào
Tại dòng 142 là các port được phép đi ra bên ngoài trên server của bạn.
Bạn nên phân biệt rõ là bạn đang cần kết nối tới server khác hay server khác kết nối tới bạn để đóng mở port chuẩn xác ở 2 dòng này.
Sau đó bạn lưu và thoát file này ra.
Hãy restart lại CSF để cấu hình mới được nhận:
csf -r
Bạn có thể check việc port đã đóng hay mở tại đây
2, Whitelist cho IP hoặc 1 range IP kết nối tới server của bạn.
Bạn cần mở file /etc/csf/csf.allow
vi /etc/csf/csf.allow
Nếu bạn muốn thêm một địa chỉ IP được whitelist tới server hãy thêm nó vào cuối file như sau:
Nếu bạn muốn thêm một range IP hãy thêm như sau:
Hãy điền đúng range mà bạn muốn add vào whitelist tại hình ảnh ví dụ là một range IP từ 1.2.3.1 – 1.2.3.254.
3, Blacklist IP hoặc range IP.
Cũng tương tự như whitelist, bạn chỉ cần mở file /etc/csf/csf.deny
vi /etc/csf/csf.deny
Cách thực thực hiện giống như whitelist IP.
4, White IP kết nối theo port.
Nếu bạn muốn cho phép 1 IP nào đó được kết nối tới 1 port duy nhất nào đó mà bạn đang đóng.
Hãy mở file /etc/csf/csf.allow
vi /etc/csf/csf.allow
Ví dụ bạn muốn IP có thể kết nối tới port 3306 thì hãy thêm như sau:
tcp|in|d=3306|s=64.18.0.0 (điền đúng IP bạn muốn thêm)
5. Blacklist IP kết nối theo port.
Ngược lại nếu bạn không muốn cho IP đó kết nối tới port 3306 hãy mở file /etc/csf/csf.deny
Sau đó thêm vào cuois file:
tcp|in|d=3306|s=64.18.0.0 (điền đúng IP bạn muốn thêm)
Sau đó đừng quên restart lại CSF
csf -r
bạn có thể kiểm tra lại các ruler đã tạo qua lệnh sau:
iptables -nL
Như vậy qua bài viết này đã hướng dẫn các bạn một số config cơ bản với CSF để bảo vệ server của bạn.
Chúc bạn thành công.
Leave A Comment?