Что такое CSF и как его настроить для защиты сервера.

Что такое CSF и как его настроить для защиты сервера.

CSF (а если немного углубиться, то ConfigServer Security Firewall) – это программный продукт, который создали для автоматической защиты сервера. Программа очень быстро завоевала большую популярность за счет своей гибкости в настройках и сохраняемой безопасности сервера.

CSF чудесно ладит с такими панелями управления хостингом, как Webmin, DirectAdmin и даже Cpanel. Впрочем CSF может работать и без каких либо панелей управления. Как мы знаем, существует стандартный фаервол на каждом сервере iptables. CSF придумывали не совсем с нуля, так как все правила из него передаются на iptables. В паре 2 фаервола работают очень надежно.

Давайте же перейдем к самой установке данного софта на сервер:

Для начала смотрим, если на нашем сервере такая библиотека: libwww-perl. Если нету, то обязательно установите:

# yum install libwww-perl (пример для дистрибутива centos)

Переходим к установке:

Нужно скачать и розархивировать архив, потом запустить скрипт установки:

  • # wget http://www.configserver.com/free/csf.tgz
  • # tar xfz csf.tgz
  • # cd csf
  • # ./install.sh

2) Потом делаем проверку на наличие всех необходимых модулей в iptables:

# perl /etc/csf/csftest.pl

  • Testing ip_tables/iptable_filter…OK
  • Testing ipt_LOG…OK
  • Testing ipt_multiport/xt_multiport…OK
  • Testing ipt_REJECT…OK
  • Testing ipt_state/xt_state…OK
  • Testing ipt_limit/xt_limit…OK
  • Testing ipt_recent…OK
  • Testing ipt_owner…OK
  • Testing iptable_nat/ipt_REDIRECT…OK
  • RESULT: csf should function on this server

Если каких-то модулей нет, то их нужно доставить такой командой:

modprobe название_модуля (вводить на хардноде, если у вас впс сервер, то свяжитесь со службой техподдержки)

2) Заходим в конфигурационный файл данной программы и делаем настройку

# vi /etc/csf/csf.conf (проверяем все ли порты открыты для корректной работы, если нет то добавляем или удаляем лишнее)

  • # Allow incoming TCP ports
  • TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
  • # Allow outgoing TCP ports
  • TCP_OUT = "20,21,22,25,53,80,110,113,443"
  • # Allow incoming UDP ports
  • UDP_IN = "20,21,53"
  • # Allow outgoing UDP ports
  • # To allow outgoing traceroute add 33434:33523 to this list
  • UDP_OUT = "20,21,53,113,123"

3) Нужно убрать режим TESTING :

Заходим в /etc/csf/csf.conf, находим там TESTING = "1”, и заменяем на TESTING = "0”.

4) Готово. Переходим к запуску программы:

# csf –s

Вот пожалуй все, что хотелось бы рассказать о данной программе. Установите ее и вы сами сможете увидеть, что она неплохо справляется с защитой сервера.