Hướng cài đặt và cấu hình CSF

I. Hướng dẫn cài đăt:

  1. Bước 1: Truy cập đến server và cài đặt thư việ Perl
    yum install wget perl-libwww-perl.noarch perl-Time-HiRes -y
  2. Bước 2: Cài đặt CSF
    • Truy cập vào folder /usr/src và download source cài đặt
      cd /usr/src
      wget https://download.configserver.com/csf.tgz
    • Giải nén source cài đặt
      tar -xzf csf.tgz
    • Truy cập folder source cài đặt và bắt đầu cài đặt
      cd csf
      sh install.sh

    • Quá trình cài đặt thành công:
  3. Bước 3: Kiểm tra hoạt động
    • Truy cập vào thư mục chạy của csf
      cd /usr/local/csf/bin/
      perl csftest.pl
    • Nếu kết quả kiểm tra ok thì quá trình cài đặt CSF đã hoàn thành.

II. Hướng dẫn cấu hình:

  1. Kiểm tra và start dịch vụ CSF
    • Để tránh việc các loại firewall xung đột trong quá trình hoạt động, chủ động stop và disable chức năng firewall mặc định trên hệ điều hành:
      systemctl stop firewalld
      systemctl disable firewalld
    • Mở file cấu hình mặc định của csf:
       vi /etc/csf/csf.conf

      Tìm đến dòng TESTING và đổi giá trị từ 1 sang 0.

      Di chuyển đến dòng 139 và kiểm tra mục TCP_IN xem đã có port SSH hiện tại của bạn chưa. Mặc định khi cài CSF thì port SSH tự động được mở theo, kể cả bạn đã đổi port. Cuối cùng lưu lại file cấu hình.

    • Bật dịch vụ CSF và LFD bằng lệnh.
      systemctl start csf
      systemctl start lfd
    • Kích hoạt dịch vụ khởi động cùng hệ điều hành
      systemctl enable csf
      systemctl enable lfd

       

  2. Chỉnh sửa trong file cấu hình:
    • Sau khi cài đặt xong, cấu hình của csf sẽ được lưu trong file /etc/csf/csf.conf . Ngoài ra sẽ có các file cấu hình khác như csf.allow, csf.deny, csf.logfiles … sẽ nằm tại thư mục /etc/csf/
    • Mặc định khi vừa cài TESTING = “1”, với TESTING = “1” thì LFD daemon (Login Fail Detect daemon) sẽ không hoạt động, do đó nếu có gì sai sót thì server cũng sẽ không block IP của bạn. Nếu cấu hình đã ổn thì bạn tắt TESTING để LFD bắt đầu hoạt động và chặn các IP tấn công.
      Với các giá trị lớn hơn 1, (VALUE = “1000”) CSF giới hạn số lượng kết nối đến server.
    • Các IP bị chặn sẽ lưu trong file csf.deny . Để gỡ bỏ chặn đối với một IP hoặc range IP chỉ cần xóa nó ra khỏi file này.
    • TESTING_INTERVAL = “5”

      Thời gian chạy cronjob để clear iptables, tính bằng phút.
    • TCP_IN = “22,25,53,80,443
      Allow incoming TCP ports: Cho phép người dùng kết nối đến các dịch vụ bên trong server với port tương ứng như SSH, Mail, DNS, … Nếu Quý khách cần mở thêm port hãy thêm Port vào đây.
    • TCP_OUT = “25,443,80
      Allow outgoing TCP port: Cho phép server kết nối ra bên ngoài với các port tương ứng.
    • ICMP_IN = “1”

      Cho phép người dùng PING đến server. Nếu bạn không muốn người dùng PING bạn hãy chuyển về là 0 tương ứng với Disable.
    • DENY_IP_LIMIT = “200”

      Giới hạn số lượng IP bị block vĩnh viễn bởi CSF (các IP này sẽ được lưu trong file /etc/csf/csf.deny ). Con số này tùy thuộc vào resource của mỗi server, nếu dùng VPS thì con số này vào khoảng “200” là hợp lý, còn dedicated server thì khoảng “500”. Khi số lượng IP bị block vượt qua con số này, csf sẽ tự động unblock IP cũ nhất (IP ở dòng 1 của file /etc/csf/csf.deny).
  3. Các lệnh cấu hình khác:
LệnhChú thíchVí dụ thực tế
csf -eBật csf (start csf)[root@sv ~]# csf -e
csf -xTắt csf (stop csf)[root@sv ~]# csf -x
csf -sBắt đầu các quy tắt tường lửa (Start the firewall rules)[root@sv ~]# csf -s
csf -fFlush/Stop firewall rules [root@sv ~]# csf -f
csf -rKhởi động lại tường lữa[root@sv ~]# csf -r
csf -a [IP]Cho phép 1 IP vào whitelist[root@sv ~]# csf -a 45.252.249.102
csf -td [IP]Thêm IP vào danh sách từ chối tạm (/var/lib/csf/csf.tempban)[root@sv ~]# csf -td 45.252.249.102
csf -tr [IP]Xóa IP khỏi danh sách cấm tạm hoặc danh sách cho phép[root@sv ~]# csf -tr 45.252.249.102
csf -tfXóa tất cả IP từ các mục IP tạm[root@sv ~]# csf -tf
csf -d [IP]Lệnh cấm IP.
IP sau khi bị cấm sẽ nằm trong /etc/csf/csf.deny
[root@sv ~]# csf -d 45.252.249.102
csf -d [IP]Bỏ chặn IP đã bị cấm trong /etc/csf/csf.deny[root@sv ~]# csf -dr 45.252.249.102
csf -drLệnh này sẽ xóa chặn tất cả các IP trong /etc/csf/csf.deny[root@sv ~]# csf -dr
csf -g [IP]Tìm kiếm rule trên firewall liên quan đến IP [root@sv ~]# csf -g 45.252.249.102
csf -tHiển thị danh sách hiện tại các IP được allow và deny [root@sv ~]# csf -t

Như vậy, Long Vân đã hoàn thành hướng dẫn Quý khách cách cài đặt và cấu hình firewall CSF, chúc Quý khách thành công !