Hướng cài đặt và cấu hình CSF
I. Hướng dẫn cài đăt:
- Bước 1: Truy cập đến server và cài đặt thư việ Perl
yum install wget perl-libwww-perl.noarch perl-Time-HiRes -y
- Bước 2: Cài đặt CSF
- Truy cập vào folder /usr/src và download source cài đặt
cd /usr/src
wget https://download.configserver.com/csf.tgz - Giải nén source cài đặt
tar -xzf csf.tgz
- Truy cập folder source cài đặt và bắt đầu cài đặt
cd csf
sh install.sh
- Quá trình cài đặt thành công:
- Truy cập vào folder /usr/src và download source cài đặt
- Bước 3: Kiểm tra hoạt động
- Truy cập vào thư mục chạy của csf
cd /usr/local/csf/bin/
perl csftest.pl - Nếu kết quả kiểm tra ok thì quá trình cài đặt CSF đã hoàn thành.
- Truy cập vào thư mục chạy của csf
II. Hướng dẫn cấu hình:
- Kiểm tra và start dịch vụ CSF
- Để tránh việc các loại firewall xung đột trong quá trình hoạt động, chủ động stop và disable chức năng firewall mặc định trên hệ điều hành:
systemctl stop firewalld
systemctl disable firewalld - Mở file cấu hình mặc định của csf:
vi /etc/csf/csf.conf
Tìm đến dòng TESTING và đổi giá trị từ 1 sang 0.
Di chuyển đến dòng 139 và kiểm tra mụcTCP_INxem đã có port SSH hiện tại của bạn chưa. Mặc định khi cài CSF thì port SSH tự động được mở theo, kể cả bạn đã đổi port. Cuối cùng lưu lại file cấu hình. - Bật dịch vụ CSF và LFD bằng lệnh.
systemctl start csf
systemctl start lfd - Kích hoạt dịch vụ khởi động cùng hệ điều hành
systemctl enable csf
systemctl enable lfd
- Để tránh việc các loại firewall xung đột trong quá trình hoạt động, chủ động stop và disable chức năng firewall mặc định trên hệ điều hành:
- Chỉnh sửa trong file cấu hình:
- Sau khi cài đặt xong, cấu hình của csf sẽ được lưu trong file /etc/csf/csf.conf . Ngoài ra sẽ có các file cấu hình khác như csf.allow, csf.deny, csf.logfiles … sẽ nằm tại thư mục /etc/csf/
- Mặc định khi vừa cài TESTING = “1”, với TESTING = “1” thì LFD daemon (Login Fail Detect daemon) sẽ không hoạt động, do đó nếu có gì sai sót thì server cũng sẽ không block IP của bạn. Nếu cấu hình đã ổn thì bạn tắt TESTING để LFD bắt đầu hoạt động và chặn các IP tấn công.
Với các giá trị lớn hơn 1, (VALUE = “1000”) CSF giới hạn số lượng kết nối đến server. - Các IP bị chặn sẽ lưu trong file csf.deny . Để gỡ bỏ chặn đối với một IP hoặc range IP chỉ cần xóa nó ra khỏi file này.
- TESTING_INTERVAL = “5”
Thời gian chạy cronjob để clear iptables, tính bằng phút. - TCP_IN = “22,25,53,80,443“
Allow incoming TCP ports: Cho phép người dùng kết nối đến các dịch vụ bên trong server với port tương ứng như SSH, Mail, DNS, … Nếu Quý khách cần mở thêm port hãy thêm Port vào đây.
- TCP_OUT = “25,443,80“
Allow outgoing TCP port: Cho phép server kết nối ra bên ngoài với các port tương ứng. - ICMP_IN = “1”
Cho phép người dùng PING đến server. Nếu bạn không muốn người dùng PING bạn hãy chuyển về là 0 tương ứng với Disable. - DENY_IP_LIMIT = “200”
Giới hạn số lượng IP bị block vĩnh viễn bởi CSF (các IP này sẽ được lưu trong file /etc/csf/csf.deny ). Con số này tùy thuộc vào resource của mỗi server, nếu dùng VPS thì con số này vào khoảng “200” là hợp lý, còn dedicated server thì khoảng “500”. Khi số lượng IP bị block vượt qua con số này, csf sẽ tự động unblock IP cũ nhất (IP ở dòng 1 của file /etc/csf/csf.deny).
- Các lệnh cấu hình khác:
| Lệnh | Chú thích | Ví dụ thực tế |
| csf -e | Bật csf (start csf) | [root@sv ~]# csf -e |
| csf -x | Tắt csf (stop csf) | [root@sv ~]# csf -x |
| csf -s | Bắt đầu các quy tắt tường lửa (Start the firewall rules) | [root@sv ~]# csf -s |
| csf -f | Flush/Stop firewall rules | [root@sv ~]# csf -f |
| csf -r | Khởi động lại tường lữa | [root@sv ~]# csf -r |
| csf -a [IP] | Cho phép 1 IP vào whitelist | [root@sv ~]# csf -a 45.252.249.102 |
| csf -td [IP] | Thêm IP vào danh sách từ chối tạm (/var/lib/csf/csf.tempban) | [root@sv ~]# csf -td 45.252.249.102 |
| csf -tr [IP] | Xóa IP khỏi danh sách cấm tạm hoặc danh sách cho phép | [root@sv ~]# csf -tr 45.252.249.102 |
| csf -tf | Xóa tất cả IP từ các mục IP tạm | [root@sv ~]# csf -tf |
| csf -d [IP] | Lệnh cấm IP. IP sau khi bị cấm sẽ nằm trong /etc/csf/csf.deny | [root@sv ~]# csf -d 45.252.249.102 |
| csf -d [IP] | Bỏ chặn IP đã bị cấm trong /etc/csf/csf.deny | [root@sv ~]# csf -dr 45.252.249.102 |
| csf -dr | Lệnh này sẽ xóa chặn tất cả các IP trong /etc/csf/csf.deny | [root@sv ~]# csf -dr |
| csf -g [IP] | Tìm kiếm rule trên firewall liên quan đến IP | [root@sv ~]# csf -g 45.252.249.102 |
| csf -t | Hiển thị danh sách hiện tại các IP được allow và deny | [root@sv ~]# csf -t |
Như vậy, Long Vân đã hoàn thành hướng dẫn Quý khách cách cài đặt và cấu hình firewall CSF, chúc Quý khách thành công !