CSF juga dikenal sebagai "Config Server Firewall" adalah firewall gratis dan canggih untuk sistem Linux. Muncul dengan beberapa fitur keamanan canggih seperti intrusi, banjir, dan deteksi login. Ini dirancang untuk bertahan dari banyak serangan, seperti pemindaian port, banjir SYN, dan serangan brute force login. Ini juga menyediakan integrasi untuk cPanel, DirectAdmin, dan Webmin.
Tutorial ini akan menjelaskan instalasi CSF, konfigurasi dasar, dan perintah penting untuk CSF di Debian 11.
Prasyarat
- Server yang menjalankan Debian 11.
- Kata sandi root dikonfigurasi di server.
Memulai
Sebelum memulai, disarankan untuk memperbarui paket sistem Anda ke versi yang diperbarui. Anda dapat melakukannya dengan menggunakan perintah berikut:
apt-get update -y
Setelah semua paket diperbarui, instal dependensi lain yang diperlukan menggunakan perintah berikut:
apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git Perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
Instal CSF di Debian 11
Secara default, paket CSF tidak disertakan dalam repositori default Debian 11. Anda harus mengunduhnya dari situs resminya.
Anda dapat mengunduh CSF versi terbaru dengan perintah berikut:
wget http://download.configserver.com/csf.tgz
Setelah unduhan selesai, ekstrak file yang diunduh dengan perintah berikut:
tar -xvzf csf.tgz
Selanjutnya, ubah direktori menjadi CSF dan jalankan install.sh skrip untuk menginstal CSF di server Anda.
cd csf
bash install.sh
Setelah CSF diinstal, Anda akan mendapatkan output berikut:
Jangan lupa untuk:1. Konfigurasikan opsi berikut dalam konfigurasi csf untuk menyesuaikan server Anda:TCP_*, UDP_*2. Mulai ulang csf dan lfd3. Setel PENGUJIAN ke 0 setelah Anda puas dengan firewall, lfd tidak akan berjalan sampai Anda melakukannya. Menambahkan alamat IP sesi SSH saat ini ke daftar putih csf di csf.allow:*WARNING* URLGET disetel untuk menggunakan LWP tetapi modul Perl tidak diinstal, mundur untuk menggunakan CURL/WGETMenambahkan 106.222.22.32 ke csf.allow hanya saat dalam mode PENGUJIAN (bukan iptables MENERIMA)*PERINGATAN* mode PENGUJIAN diaktifkan - jangan lupa untuk menonaktifkannya di konfigurasi'lfd.service' -> '/usr /lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Membuat symlink /etc/systemd/system/multi-user.target.wants/csf .service → /lib/systemd/system/csf.service.Membuat symlink /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Gagal menonaktifkan unit :File unit firewalld.service tidak ada.Gagal menghentikan firewalld.service:Unit firewalld.service tidak dimuat.Unit firewalld.service tidak ada, tetap melanjutkan.Membuat symlink /etc/systemd/system/firewalld.service → /dev /null.'/etc /csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Instalasi Selesai
Setelah instalasi, verifikasi modul iptables yang diperlukan untuk CSF menggunakan perintah berikut:
perl /usr/local/csf/bin/csftest.pl
Jika semuanya baik-baik saja, Anda akan mendapatkan output berikut:
Pengujian ip_tables/iptable_filter...OKPengujian ipt_LOG...OKPengujian ipt_multiport/xt_multiport...OKPengujian ipt_REJECT...OKPengujian ipt_state/xt_state...OKPengujian ipt_limit/xt_limit...OKPengujian ipt_state/xt_state...OKPengujian ipt_limit/xt_limit...OKPengujian ipt_recent... .OKMenguji ipt_owner/xt_owner...OKMenguji iptable_nat/ipt_REDIRECT...OKMenguji iptable_nat/ipt_DNAT...OKRESULT:csf harus berfungsi di server ini
Konfigurasikan CSF
Selanjutnya, Anda perlu mengonfigurasi CSF berdasarkan kebutuhan Anda. Anda dapat mengonfigurasinya dengan mengedit /etc/csf/csf.conf berkas.
nano /etc/csf/csf.conf
Pertama, cari baris TESTING ="1", dan ubah nilainya menjadi "0" untuk mengaktifkan CSF:
PENGUJIAN ="0"
Selanjutnya, cari baris RESTRICT_SYSLOG ="0" , dan ubah nilainya menjadi 3 untuk menyetel akses file syslog/rsyslog hanya untuk anggota RESTRICT_SYSLOG_GROUP :
RESTRICT_SYSLOG ="3"
Tambahkan port terbuka TCP masuk yang diperlukan di baris berikut:
TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"
Tambahkan port TCP keluar yang diperlukan di baris berikut:
# Izinkan port TCP keluarTCP_OUT ="20,21,22,25,53,80,110,113,443.587,993.995"
Tambahkan port terbuka UDP masuk yang diperlukan di baris berikut:
# Izinkan port UDP masukUDP_IN ="20,21,53,80,443"
Tambahkan port UDP keluar yang diperlukan di baris berikut:
# Izinkan port UDP keluarUDP_OUT ="20,21,53,113,123"
Simpan dan tutup file, lalu muat ulang firewall CSF untuk menerapkan perubahan:
csf -r
Perintah CSF Dasar
Untuk menghentikan firewall CSF, jalankan perintah berikut:
csf -s
Untuk membersihkan firewall CSF, jalankan perintah berikut:
csf -f
Untuk membuat daftar semua aturan IPTABLES yang ditambahkan oleh CSF, jalankan perintah berikut:
csf -l
Untuk memulai CSF dan mengaktifkannya untuk memulai saat reboot sistem, jalankan perintah berikut:
systemctl start csf
systemctl aktifkan csf
Untuk memeriksa status firewall CSF, jalankan perintah berikut:
systemctl status csf
Anda akan mendapatkan output berikut:
? csf.service - ConfigServer Firewall &Security - csf Dimuat:dimuat (/ lib/systemd/system/csf.service; diaktifkan; preset vendor:diaktifkan) Aktif:aktif (keluar) sejak Sat 2021-09-18 15:42:04 UTC; 11 detik yang lalu Proses:8022 ExecStart=/usr/sbin/csf --initup (code=exited, status=0/SUCCESS) Main PID:8022 (code=exited, status=0/SUCCESS) CPU:705ms18 Sep 15:42:04 debian11 csf[8022]:ACCEPT all opt in * out lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOGDROPOUT all opt in * out !lo ::/0 -> ::/018 Sep 15:42:04 debian11 csf[8022]:LOGDROPIN semua ikut serta !lo keluar * ::/0 -> ::/018 Sep 15:42:04 debian11 csf[8022]:csf:FASTSTART memuat DNS (IPv4)18 Sep 15:42:04 debian11 csf[8022]:csf:FASTSTART memuat DNS (IPv6)18 Sep 15:42:04 debian11 csf[8022]:LOCALOUTPUT all opt -- in * out !lo 0.0. 0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022]:LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022]:LOCALOUTPUT all opt in * out !lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOCALINPUT all opt in !lo out * ::/0 -> ::/0Sep 18 15:42:04 debian11 systemd[1]:Selesai ConfigServer Firewall &Security - csf.Untuk mengizinkan host tertentu berdasarkan alamat IP, jalankan perintah berikut:
csf -a 192.168.100.10Untuk menolak host tertentu berdasarkan alamat IP, jalankan perintah berikut:
csf -d 192.168.100.11Untuk menghapus IP dari daftar yang diizinkan, jalankan perintah berikut:
csf -ar 192.168.100.10Untuk menghapus IP dari daftar tolak, jalankan perintah berikut:
csf -dr 192.168.100.11Anda dapat menambahkan IP tepercaya dengan mengedit /etc/csf/csf.allow berkas:
nano /etc/csf/csf.allowTambahkan IP tepercaya Anda:
192.168.100.10Anda dapat menambahkan IP yang tidak tepercaya dengan mengedit /etc/csf/csf.deny berkas:
nano /etc/csf/csf.denyTambahkan IP Anda yang tidak tepercaya:
192.168.100.11Kesimpulan
Dalam panduan di atas, kami menjelaskan cara menginstal firewall CSF di Debian 11. Kami juga menunjukkan beberapa perintah dasar CSF untuk mengatur lalu lintas Anda. Untuk informasi selengkapnya, kunjungi dokumentasi CSF.
Debian