Mengamankan server Linux Anda dengan firewall sangat penting untuk menjaga server dan jaringan Anda tetap aman. Tapi bagaimana Anda mengatur firewall? Pertimbangkan untuk menginstal Config Server Firewall (CSF firewall) jika Anda mencari cara yang andal dan efisien untuk melindungi server Linux Anda.
Firewall CSF adalah opsi kaya fitur untuk server Linux. Dan dalam tutorial ini, Anda akan mempelajari cara memasang dan mengonfigurasi firewall CSF dan melihat cara kerjanya secara langsung.
Baca terus dan jauhkan entitas jahat dari server Anda!
Prasyarat
Untuk mengikuti contoh dalam tutorial ini, pastikan untuk memiliki yang berikut ini:
- Mesin Linux – Demo ini menggunakan Ubuntu 20.04, tetapi semua distribusi Linux akan berfungsi.
- hak istimewa sudo atau akses ke akun root.
Memasang Firewall CSF
Sebelum mengatur firewall CSF, Anda harus menginstalnya terlebih dahulu di server. Namun sebelum Anda melakukannya, pastikan untuk menghentikan dan menonaktifkan firewall lain di server Anda.
Memiliki dua firewall yang berjalan menimbulkan risiko keamanan. Mengapa? Jika kedua firewall memblokir sesuatu, Anda tidak akan tahu mana yang melakukannya. Selain itu, firewall tidak kompatibel secara default dan dapat menyebabkan server Anda mogok jika Anda memiliki lebih dari satu.
1. Jalankan perintah berikut untuk menonaktifkan firewall default yang mungkin Anda miliki di server Anda.
# Stop the firewalld firewall
sudo systemctl stop firewalld
# Disable the firewalld firewall
sudo systemctl disable firewalld
# Disable the UFW firewall
sudo ufw disable
2. Selanjutnya, jalankan apt update perintah di bawah ini untuk memperbarui indeks paket yang tersedia.
Saat Anda menjalankan perintah ini, komputer lokal Anda mungkin terhubung ke internet dan mengunduh pesan pembaruan untuk setiap repositori atau arsip baru yang ditentukan di /etc/apt/sources.list mengajukan.
sudo apt update -yOutput di bawah ini menunjukkan pembaruan file paket lokal, memberikan umpan balik real-time tentang kemajuannya.
Paket CSF saat ini tidak tersedia di repositori Ubuntu, jadi Anda harus mengunduh paket secara manual (langkah ketiga).
3. Jalankan wget perintah di bawah ini untuk mengunduh csf.tgz paket ke direktori Anda saat ini.
csf.tgz paket adalah paket CSF utama. Paket ini berisi semua aturan dan modifikasi yang diperlukan untuk mengamankan server Anda.
sudo wget http://download.configserver.com/csf.tgz
4. Sekarang, jalankan tar perintah di bawah ini untuk mengekstrak paket CSF yang Anda unduh. Saat perintah selesai, Anda akan memiliki direktori baru bernama csf yang berisi semua file konfigurasi firewall CSF
- Bendera di bawah ini memberi tahu
tarperilaku perintah saat mengekstrak: xbendera memberitahutaruntuk mengekstrak file.zbendera memberitahutaruntuk menggunakan GZIP untuk mendekompresi file yang ditentukan. GZIP adalah program kompresi file yang menggunakan pengkodean Lempel-Ziv (LZ77) untuk mengompresi file.fbendera memberitahutarfile mana yang akan diekstrak.
sudo tar -xzf csf.tgz
5. Jalankan ls perintah di bawah ini untuk memeriksa apakah csf direktori ada.
ls -la
Anda akan melihat semua file dan direktori di direktori home Anda, termasuk csf direktori, seperti yang ditunjukkan di bawah ini. Jika Anda tidak melihat csf direktori, jalankan kembali sudo tar -xzf csf.tgz perintah.
6. Selanjutnya jalankan perintah berikut untuk pindah ke csf direktori dan jalankan skrip shell (install.sh ) untuk menginstal CSF di server Anda. Ikuti petunjuknya dan masukkan 'Y' bila diperlukan selama instalasi.
cd csf
sudo sh install.shSkrip shell akan membuat skrip start-up CSF untuk daemon CSF dan menambahkan file konfigurasi ke direktori yang sesuai, seperti /etc/csf/ , /etc/logrotate.d/ , dan seterusnya. Dengan cara ini, Anda tidak perlu khawatir membuat semua file dan direktori konfigurasi sendiri.
7. Jalankan perintah di bawah ini untuk memeriksa apakah Anda telah menginstal firewall CSF dengan benar. Perintah ini memeriksa dan mencetak versi firewall CSF yang terinstal di server Anda. sudo csf -v
sudo csf -vJika firewall CSF diinstal dengan benar, Anda akan melihat nomor versi firewall CSF, seperti yang ditunjukkan di bawah ini. Dalam demo ini, versi yang diinstal adalah v14.5 (generik) , tetapi milik Anda mungkin berbeda.
Untuk saat ini, Anda dapat mengabaikan mode PENGUJIAN diaktifkan pesan peringatan. Anda akan mempelajari cara menonaktifkan mode pengujian nanti.
8. Terakhir, jalankan perl perintah di bawah ini untuk memeriksa semua modul CSF (/usr/local/csf/bin/csftest.pl ).
csftest.pl file adalah salah satu skrip Perl dengan paket CSF. Skrip Perl ini memungkinkan Anda menguji modul firewall CSF Anda untuk memastikannya berfungsi dengan benar sebelum mengaktifkannya.
perl /usr/local/csf/bin/csftest.pl
Jika modul firewall Anda berfungsi dengan benar, Anda akan melihat tanda OK status, seperti yang ditunjukkan pada tangkapan layar di bawah ini. 
Memeriksa semua Modul CSF
Mengonfigurasi Firewall CSF
Sekarang setelah Anda menginstal CSF, Anda dapat mengonfigurasinya agar berfungsi dengan sistem Anda dengan memodifikasi /etc/csf/csf.conf file konfigurasi untuk firewall CSF. File ini berisi berbagai parameter/arahan yang dapat dipilih untuk keamanan, pencatatan, dan perlindungan.
Menurut persyaratan sistem, Anda mengubah parameter ini. Tapi jangan mengubahnya kecuali Anda tahu apa yang Anda lakukan. Mengubah file ini dengan cara apa pun dapat membuat firewall Anda tidak berfungsi atau bahkan merusak keamanan server Anda jika dilakukan dengan tidak benar.
Meskipun komentar dalam file konfigurasi minimal, memahami struktur file dan ide di balik arahan ini jika Anda baru mengenal konfigurasi CSF sangat berguna. Dan jika Anda cukup percaya diri, buat konfigurasi yang lebih kompleks.
1. Buka /etc/csf/csf.conf file di editor pilihan Anda, lalu ubah TESTING nilai arahan ke 0 bukannya 1 , seperti yang ditunjukkan di bawah ini. PENGUJIAN direktif digunakan untuk tujuan pengujian.
Ingat bahwa Anda memerlukan akses sudo untuk mengubah file konfigurasi.
Jika Anda menyetel PENGUJIAN nilai arahan ke 1 , server Anda tidak akan menerapkan aturan firewall. Namun jika Anda menjalankan layanan produksi aktif yang memerlukan perlindungan seperti SSH (misalnya), ubah TESTING nilai arahan ke 0 . Melakukannya memungkinkan Anda mengaktifkan perlindungan tanpa mengganggu layanan.
2. Selanjutnya, tentukan port TCP dan UDP tambahan ke firewall CSF Anda menggunakan TCP_IN , TCP_OUT , UDP_IN , dan UDP_OUT arahan.
Daftar default port ditunjukkan di bawah ini, dibuat saat instalasi. Daftar ini mencakup semua TCP yang umum digunakan dan UDP pelabuhan.
Perhatikan bahwa semakin sedikit port yang Anda buka, sistem Anda akan menjadi lebih aman. Tetapi Anda tidak dapat menutup semua port karena server/layanan Anda berinteraksi dengan pengguna melalui port 80 dan 443 untuk lalu lintas HTTP/HTTPS, 53 untuk DNS, 22 untuk login SSH, dan seterusnya.
Jangan hapus daftar port default kecuali Anda tahu apa yang Anda lakukan atau memiliki alasan khusus untuk menghapus daftar tersebut.
3. Ubah ICMP_IN arahan ke 1 untuk mengizinkan ping masuk ke server Anda sehingga Anda dapat menggunakannya untuk menguji apakah server Anda berfungsi dan online.
Tentukan tindakan yang diambil CSF yang dipilih, serta berapa banyak percobaan yang diizinkan sebelum mengambil tindakan firewall, dengan yang berikut ini dan simpan perubahannya:
CSF dapat memantau log untuk upaya masuk yang gagal secara berkala dan mendeteksi sebagian besar upaya akses terlarang. Fitur ini berguna untuk melindungi layanan Anda dari serangan brute force dengan memblokir IP sumber setelah sejumlah upaya login yang gagal.
- Ubah CONNLIMIT nilai direktif menjadi 22;3;80;50 . Arahan CONNLIMIT memungkinkan Anda untuk menentukan jumlah koneksi bersamaan yang diizinkan ke server pada port tertentu.
22;3;80;500 nilai memungkinkan untuk 50 koneksi bersamaan pada port 80 (http), dan tiga koneksi bersamaan lainnya pada port 22 (ssh).
- Ubah PORTFLOOD nilai direktif menjadi 22;tcp;3;3600 . Arahan PORTFLOOD membatasi jumlah koneksi per alamat IP per interval waktu.
Di bawah, 22;tcp;3;3600 nilai membatasi IP selama satu jam (3600 detik) jika lebih dari tiga koneksi telah dibuat pada port 22 menggunakan protokol TCP. Setelah upaya login terakhir, CSF akan melepaskan IP yang diblokir setelah jangka waktu 3600 detik telah berlalu.
- Selanjutnya, setel DENY_IP_LIMIT nilai arahan menjadi 10 . Arahan ini mengontrol berapa banyak alamat IP yang diblokir yang disimpan CSF dalam memorinya. Setelah batas tercapai (10), IP akan diputar. Entri terlama kemudian akan dihapus, sedangkan yang terbaru akan dimasukkan bersama dengan hitungan.
Simpan perubahan dan keluar dari editor setelah Anda puas dengan konfigurasinya.
Menyimpan terlalu banyak blok IP yang buruk berpotensi memperlambat server Anda. Jadi, Anda mungkin ingin menyimpan DENY_IP_LIMIT nomor pada nomor yang dapat diatur.
5. Sekarang, jalankan perintah di bawah ini untuk memuat ulang konfigurasi firewall CSF Anda dan menerapkan perubahan.
csf -r
6. Terakhir, jalankan perintah di bawah ini untuk mengonfirmasi bahwa firewall CSF sedang berjalan.
sudo systemctl status csfJika konfigurasi berfungsi dengan benar, Anda akan melihat aktif status. Status ini menunjukkan firewall memuat aturan baru Anda dan kemudian keluar . Perilaku ini khas untuk layanan oneshot.
Pada titik ini, Anda telah mengonfigurasi firewall CSF Anda untuk memblokir sejumlah alamat IP.
Memblokir dan Mengizinkan Alamat IP menggunakan CSF Firewall
Sekarang setelah Anda mengonfigurasi file konfigurasi CSF, langkah selanjutnya untuk melindungi server Anda adalah memblokir atau mengizinkan alamat IP.
Anda akan memodifikasi tiga file konfigurasi di bawah ini:
- /etc/csf/csf.allow
- /etc/csf/csf.deny
- /etc/csf/csf.ignore
Cara paling umum untuk mengamankan server Anda adalah dengan memblokir alamat IP, jadi mulailah dengan memodifikasi /etc/csf/csf.deny file konfigurasi.
1. Untuk memblokir alamat IP, buka /etc/csf/csf.deny file di editor pilihan Anda, dan masukkan alamat IP (satu per baris) untuk diblokir, seperti yang ditunjukkan di bawah ini. Setelah menambahkan alamat IP, simpan perubahan dan tutup editor.
Pada titik ini, CSF akan memblokir semua lalu lintas dari alamat IP yang Anda tambahkan.
Tambahkan alamat IP saja dan bukan nama domain, karena semua entri nama domain akan diabaikan.
2. Selanjutnya, buka /etc/csf/csf.allow file untuk mengizinkan alamat IP dikecualikan dari semua aturan firewall Anda. Tambahkan alamat IP (satu per baris), seperti yang ditunjukkan di bawah ini, untuk dikecualikan dari aturan firewall Anda, lalu simpan perubahan dan tutup editor.
Tangkapan layar di bawah ini adalah alamat IP lokal yang digunakan demo ini untuk SSH ke server untuk meningkatkan CSF.
3. Terakhir, buka /etc/csf/csf.ignore file dan tambahkan alamat IP (satu per baris) untuk memungkinkan aturan firewall Anda. Berbeda dengan csf.allow file, alamat IP di csf.ignore akan melewati aturan firewall tetapi akan diblokir jika tercantum di csf.deny mengajukan.
Kesimpulan
Dalam artikel ini, Anda telah mempelajari cara menginstal dan mengonfigurasi firewall CSF di mesin Ubuntu. Selain itu, Anda telah menyentuh tentang mengamankan server Anda dengan memblokir, mengizinkan, dan mengabaikan alamat IP di firewall Anda.
Pada titik ini, Anda sudah memiliki pengetahuan yang baik tentang cara mengamankan server Anda dengan membatasi alamat IP yang diizinkan untuk terhubung ke server Anda. Mengapa tidak mengonfigurasi firewall CSF Anda untuk melindungi panel CSF WHM/cPanel Anda dengan pengetahuan baru ini?