csf toàn tập

Follow

Step 1 – Installation of CFS dependencies : cài các gói phụ thuốc cho CFS

#yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes

Step 2 :  Truy cập thư mục /usr/src và tải gói cài đặt cfs về : Please go to the “/usr/src/” directory and download CSF with wget command

#cd /usr/src/

#wget https://download.configserver.com/csf.tgz

Giải nén file tar.gz : Extract the tar.gz file and go to the csf directory, then install it:

#tar -xzf csf.tgz

#cd csf

Step 3 : install csf for directadmin

#sh install.directadmin.sh

Step 4: Kiểm tra hoạt động trên VPS

#perl /usr/local/csf/bin/csftest.pl

If you see the test results as shown below, then CSF is running without problems on your server:

RESULT: csf should function on this server

Step 3 – Cấu hình CFS

   Trước khi thực hiện các bước ấu hình CFS tiếp theo, trước tiên bạn cần biết răng mặc định firewall centos 7 là firewalld, Việc cần phải làm là stop firewalld và không cho nó khởi động cùng hệ thống

   Before stepping into the CSF configuration process, the first thing you must know is that “CentOS 7” has a default firewall application called “firewalld”. You have to stop firewalld and remove it from the startup.

Stop the firewalld:

#systemctl stop firewalld

Disable/Remove firewalld from the startup:

#systemctl disable firewalld

  • File cấu hình mặc định CFS là /etc/cfs/csf.conf

#cd /etc/csf/

#vim csf.conf

Thay đổi dòng 11 ” testing ” từ 1 –> 0 để CFS enable

Change line 11 “TESTING ” to “0” for applying the firewall configuration.

TESTING = "0"

systemctl start csf systemctl start lfd And then enable the csf and lfd services to be started at boot time:

systemctl enable csf systemctl enable lfd Step 4 – Basic CSF Commands

Start the firewall (enable the firewall rules):

#csf -s

Flush/Stop the firewall rules.

#sf -f

Reload the firewall rules.

#csf -r

Allow an IP and add it to csf.allow.

csf -a 192.168.1.109

csf.conf – các tập tin cấu hình chính, nó có ý kiến ​​hữu ích để giải thích những gì mỗi tùy chọn nào csf.allow – một danh sách các địa chỉ CIDR của IP và phải luôn luôn được phép thông qua các bức tường lửa csf.deny – một danh sách các địa chỉ CIDR của IP và không bao giờ được phép thông qua các bức tường lửa csf.ignore – một danh sách các IP và địa chỉ CIDR rằng LFD nên bỏ qua và không ngăn chặn nếu phát hiện Cấu hình trong tập tin csf.conf

nano /etc/csf/csf.conf

Mở port

Cho phép các cổng TCP đến

Allow incoming TCP ports

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”

Cho phép các cổng TCP gửi đi

Allow outgoing TCP ports

TCP_OUT = “20,21,22,25,53,80,110,113,443,587,993,995”

Cho phép các cổng UDP đến

Allow incoming UDP ports

UDP_IN = “20,21,53”

Cho phép các cổng UDP gửi đi

Allow outgoing UDP ports

To allow outgoing traceroute add 33434:33523 to this list

UDP_OUT = “20,21,53,113,123”

Chặn ping

Cho phép PING đến, thay đổi giá trị 1 hoặc 0 để chặn

Allow incoming PING

ICMP_IN = “1”

Đặt tốc độ ping đến

Để vô hiệu hóa giới hạn tốc độ thiết lập để “0”

Set the per IP address incoming ICMP packet rate

To disable rate limiting set to “0”

ICMP_IN_RATE = “1/s”

Cho phép PING đi, thay đổi giá trị 1 hoặc 0 để chặn

Allow outgoing PING

ICMP_OUT = “1”

Đặt tốc độ ping đi

# Set the per IP address outgoing ICMP packet rate (hits per second allowed),
# e.g. “1/s”
# To disable rate limiting set to “0”
ICMP_OUT_RATE = “0”

Thiết lập vảo vệ chống DOS

Bạn có thể chỉ định số lượng cho phép kết nối trên mỗi cổng trong khoảng thời gian của ý thích của bạn

PORTFLOOD = “port;protocol;hit count*;interval seconds”

VD:

PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”

  1. Nếu có nhiều hơn 5 kết nối đến tcp port 22 trong vòng 300 giây, thì sau đó chặn địa chỉ IP từ port 22 cho ít nhất 300 giây sau khi các gói tin cuối cùng được nhìn thấy, tức là không có một kết nối nào đến trong thời gian 300 giây thì chặn sẽ đc dỡ bỏ
  2. Nếu có nhiều hơn 20 kết nối đến tcp port 80 trong vòng 5 giây, thì sau đó chặn địa chỉ IP từ port 80 cho ít nhất 5 giây sau khi các gói tin cuối cùng được nhìn thấy, tức là không có một kết nối nào đến trong thời gian 5 giây thì chặn sẽ đc dỡ bỏ

Mặc định thì những port sau được mở:

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”
TCP_OUT = “20,21,22,25,53,80,110,113,443”
UDP_IN = “20,21,53”
UDP_OUT = “20,21,53,113,123”

Danh sách các service đang sử dụng những port trên:

Port 20: FTP data transfer
Port 21: FTP control
Port 22: Secure shell (SSH)
Port 25: Simple mail transfer protocol (SMTP)
Port 53: Domain name system (DNS)
Port 80: Hypertext transfer protocol (HTTP)
Port 110: Post office protocol v3 (POP3)
Port 113: Authentication service/identification protocol
Port 123: Network time protocol (NTP)
Port 143: Internet message access protocol (IMAP)
Port 443: Hypertext transfer protocol over SSL/TLS (HTTPS)
Port 465: URL Rendesvous Directory for SSM (Cisco)
Port 587: E-mail message submission (SMTP)
Port 993: Internet message access protocol over SSL (IMAPS)
Port 995: Post office protocol 3 over TLS/SSL (POP3S)

From <https://gitlab.com/step.com.vn/step-guide/-/issues/44>