Как установить Config Server Firewall (CSF) в Debian 11

Config Server Firewall (или CSF) - это продвинутый брандмауэр и прокси-сервер для Linux. Его основная цель - позволить системному администратору контролировать доступ между локальным узлом и подключенными компьютерами. Программа также может быть настроена на мониторинг сетевого трафика на предмет вредоносной активности.

Она предлагает ряд функций, таких как "Политики брандмауэра", которые позволяют осуществлять фильтрацию всех видов в дополнение к услугам трансляции сетевых адресов (NAT), услугам проксирования, кэшированию запросов DNS-резольвера на ваших собственных DNS-серверах или не кэшировать их вообще. Он также поддерживает аутентифицированных пользователей с различными уровнями привилегий для выполнения определенных задач, таких как управление политиками брандмауэра или расширение службы NAT. Кроме того, в программе есть хороший "Системный журнал", который позволяет регистрировать все виды событий, происходящих в системе, например, входы, выходы, изменения файлов, добавления или любые другие события.

Программа доступна на нескольких языках, включая английский, португальский и французский.

Исходный код программы находится в свободном доступе на условиях лицензии GNU General Public License.

В настоящее время наиболее распространенным вектором атак на большинство продуктов безопасности являются уязвимости в приложениях и конфигурационных файлах. CSF затрудняет использование таких уязвимостей. Если вы планируете вести бизнес с открытым исходным кодом или использовать систему Linux в качестве бэкенда для вашего веб-приложения, то вам следует подумать об установке Config Server Firewall (CSF).

В этой статье мы покажем, как можно установить и настроить CSF-сервер в Debian Linux. Это руководство работает для Debian версий 10 и 11. После прочтения этого руководства вы сможете включить базовый брандмауэр CSF и прокси-сервер.

Предварительные условия

• Эта статья предполагает, что у вас есть система Debian 10 или Debian 11 Linux с правами root.
• Это руководство предполагает, что у вас есть рабочее подключение к Интернету на сервере.
• Это руководство предполагает, что у вас есть базовые знания Linux и командной строки.

Обновление системы

Перед установкой любого пакета всегда полезно обновить систему. Выполним следующую команду для обновления системы.

Эти команды проверят наличие доступных обновлений в репозиториях и установят их. Затем необходимо выполнить следующие команды для установки необходимых зависимостей. Зависимости, которые вы устанавливаете здесь, не установлены по умолчанию. Вы должны установить их вручную. Причина в том, что они обеспечивают дополнительную функциональность конкретной программы и не всегда необходимы.

Пример вывода:

Установка CSF Firewall в Debian 11

Теперь, когда у вас установлены все необходимые зависимости, вы можете установить CSF в Debian Linux. Процесс установки довольно прост, но давайте пройдемся по нему шаг за шагом.

Репозитории Debian не включают пакет CSF по умолчанию. Чтобы CSF работал, вам необходимо загрузить и установить пакет CSF вручную. После извлечения архива CSF у вас появится новая папка csf. В каталоге csf находятся все файлы и инсталляция, необходимые для установки CSF на сервер Debian.

Выполните команду wget http://download.configserver.com/csf.tgz, чтобы загрузить пакет CSF в текущий рабочий каталог.

После того как вы получили пакет, выполните команду tar -xvzf csf.tgz, чтобы извлечь пакет в текущий рабочий каталог. tar означает ленточный архив и является методом создания архива файлов. x означает извлечь, v означает подробную операцию. z означает сжатие gzip, что означает, что файл сжат. f означает имя архивного файла, и в данном случае это csf.tgz.

Перейдите в каталог csf и выполните команду sudo bash install.sh, чтобы установить CSF в вашей системе.

install.sh - это сценарий установки, который автоматически загружает последний пакет CSF и устанавливает его на вашу систему. Этот сценарий выполняет за вас всю тяжелую работу, связанную с загрузкой, извлечением, установкой необходимых зависимостей и т.д.

Сценарий установки - это исполняемый текстовый файл, который автоматизирует процесс установки программы или пакета на вашу систему. Сценарий обычно проверяет, что ему нужно установить, а затем загружает и устанавливает это на вашу систему. Это значительно сокращает время, которое вы потратите на установку и настройку, а также уменьшает количество ошибок, связанных с настройкой вручную.

Процесс установки займет несколько минут, поэтому давайте просто подождем его завершения. После завершения установки вы получите следующее сообщение.

На данный момент вы правильно установили CSF на свой сервер Debian Linux. Но вы должны проверить, доступны ли модули iptables в вашей системе. iptables используются при создании правил CSF и брандмауэров.

Выполните команду sudo perl /usr/local/csf/bin/csftest.pl, чтобы проверить, доступны ли модули iptables.

Если вы получите результат, как показано ниже, значит, все готово.

Настройка политик брандмауэра CSF

Теперь, когда вы установили CSF на свой сервер Debian Linux, пришло время его настроить. В этом разделе мы рассмотрим, как настроить некоторые основные политики брандмауэра CSF.

Конфигурационный файл csf.conf находится в каталоге /etc/csf и используется для определения политик и правил брандмауэра CSF.

Выполнение команды sudo nano /etc/csf.conf откроет файл конфигурации csf.conf. Это позволит вам редактировать и просматривать содержимое этого файла

Первое, что вам нужно будет сделать, это настроить открытые порты. Открытые порты - это то, как вы определяете, какие порты ваши пользователи могут использовать для доступа к вашим бэкендам.

Прокрутите вниз до раздела Allow incoming ('Разрешить входящие) и  Allow outgoing (Разрешить исходящие), чтобы увидеть все открытые порты. Наиболее часто используемые порты открыты по умолчанию. Вы можете открыть дополнительные порты, добавив номер порта вручную в список открытых портов, если хотите разрешить соединения через них.

Но помните, чем больше у вас открытых портов, тем большему риску вы подвергаетесь. Вы же не хотите, чтобы ваш сервер стал подсадной уткой для злоумышленников. Поэтому всегда держите эти открытые порты под контролем и не открывайте слишком много портов одновременно.

По умолчанию параметр TESTING установлен на 1. Вы должны изменить его на 0 после завершения тестирования

Директива ConnLimit CSF также может ограничить количество входящих соединений к определенному порту до заданного значения. Это полезно, если вы хотите ограничить количество одновременных подключений к одному порту за один раз.

Например, 22;1;443;10 настроит ваш брандмауэр так, чтобы разрешить только определенные соединения с портами 22 и 443 в определенное время. Это значение ограничивает количество одновременных входящих соединений с портом 22 только одним и устанавливает ограничение в десять одновременных входящих соединений с портом 443.

Директива PORTFLOOD используется для указания количества последовательных попыток соединения с одного IP-адреса, которые должны быть заблокированы за временной интервал. Например, 22;tcp;3;3600 настроит брандмауэр на блокирование соединений на 60 минут (3600 секунд), если будет обнаружено более 3 последовательных попыток подключения к порту 22 с одного IP. Заблокированный IP будет разблокирован автоматически по истечении 3600 секунд.

Сохраните и закройте файл конфигурации csf.conf после завершения работы. Теперь вы можете перезагрузить брандмауэр SF, чтобы применить изменения.

Выполните команду sudo csf -l, чтобы проверить, были ли изменения синхронизированы с брандмауэром.

Заключение

В этой статье мы узнали, как установить и настроить CSF на сервере Debian Linux. CSF - это относительно новый инструмент брандмауэра, который позволяет вам легко настраивать политики и правила брандмауэра. Возможно, CSF не является лучшим решением для брандмауэра, но это хорошая отправная точка для начинающего администратора брандмауэра Linux.