Config Server Firewall (ou CSF) est un pare-feu avancé et un serveur proxy pour Linux. Son objectif principal est de permettre à un administrateur système de contrôler l'accès entre l'hôte local et les ordinateurs connectés. Le logiciel peut également être configuré pour surveiller le trafic réseau à la recherche d'activités malveillantes.
Il offre un certain nombre de fonctionnalités telles que les "politiques de pare-feu", qui permettent le filtrage de toutes sortes en plus des services de traduction d'adresses réseau (NAT), des services de proxy, la mise en cache des requêtes de résolution DNS sur vos propres serveurs DNS, ou ne pas les mettre en cache du tout. Il prend également en charge les utilisateurs authentifiés avec différents niveaux de privilèges pour des tâches spécifiques telles que la gestion des politiques de pare-feu ou l'extension du service NAT. Il dispose également d'un joli "System Logger" qui permet de consigner toutes sortes d'événements qui se produisent sur le système, par exemple, les connexions, les déconnexions, les modifications de fichiers, les ajouts ou tout autre type d'événement.
Le logiciel est disponible en plusieurs langues, dont l'anglais, le portugais et le français.
Le code source du logiciel est librement disponible selon les termes d'une licence publique générale GNU.
De nos jours, le vecteur d'attaque le plus courant pour la plupart des produits de sécurité sont les vulnérabilités des applications et des fichiers de configuration. CSF rend difficile l'exploitation de telles failles. Si vous envisagez de gérer une entreprise open source ou d'utiliser un système Linux comme backend pour votre application Web, vous devriez envisager d'installer Config Server Firewall (CSF).
Dans cet article, nous montrerons comment installer et configurer un serveur CSF dans Debian Linux. Ce guide fonctionne pour les versions 10 et 11 de Debian. Après avoir lu ce guide, vous pourrez activer le pare-feu et le serveur proxy CSF de base.
Prérequis
- Cet article suppose que vous disposez d'un système Linux Debian 10 ou Debian 11 avec des privilèges root.
- Ce guide suppose que vous disposez d'une connexion Internet fonctionnelle sur le serveur.
- Ce guide suppose que vous avez une connaissance de base de Linux et de la ligne de commande.
Mise à jour de votre système
Avant d'installer un package, il est toujours recommandé de mettre à jour votre système. Exécutons la commande suivante pour mettre à jour le système.
sudo apt update && sudo apt upgrade -y
Ces commandes vérifieront s'il y a des mises à jour disponibles dans les référentiels et les installeront. Ensuite, vous devez exécuter les commandes suivantes pour installer les dépendances requises. Les dépendances que vous installez ici ne sont pas installées par défaut. Vous devez les installer manuellement. La raison en est qu'ils fournissent des fonctionnalités supplémentaires à un programme spécifique et ne sont pas toujours nécessaires.
sudo apt install wget libio-socket-ssl-perl git perl iptables -y sudo apt install libnet-libidn-perl libcrypt-ssleay-perl -y sudo apt install libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip - y
Exemple de sortie :
Installation du pare-feu CSF sur Debian 11
Maintenant que toutes les dépendances requises sont installées, vous pouvez installer CSF dans Debian Linux. Le processus d'installation est assez simple, mais passons en revue étape par étape.
Les dépôts Debian n'incluent pas le paquet CSF par défaut. Pour que CSF fonctionne, vous devez télécharger et installer le package CSF manuellement.
Une fois l'archive CSF extraite, vous aurez un nouveau dossier nommé csf. Le répertoire csf contient tous les fichiers et l'installation dont vous avez besoin pour installer CSF sur le serveur Debian.
Exécutez la commande ls -l pour vérifier si le nouveau répertoire a été créé.
ls -l
1. Exécutez la commande wget http://download.configserver.com/csf.tgz pour télécharger le package CSF dans votre répertoire de travail actuel.
wget http://download.configserver.com/csf.tgz
2. Une fois que vous avez le package téléchargé, exécutez la commande tar -xvzf csf.tgz pour extraire le package dans votre répertoire de travail actuel. tar signifie archive sur bande et est une méthode pour créer une archive de fichiers. x signifie extraire et v est pour une opération détaillée. z correspond à la compression gzip, ce qui signifie que le fichier est compressé. f représente un nom de fichier d'archive, et dans ce cas, c'est csf.tgz.
tar -xvzf csf.tgz
Une fois l'archive CSF extraite, vous aurez un nouveau dossier nommé csf. Le répertoire csf contient tous les fichiers et l'installation dont vous avez besoin pour installer CSF sur le serveur Debian.
3. Exécutez la commande ls -l pour vérifier si le nouveau répertoire a été créé.
ls -l
4. Accédez au répertoire csf et exécutez la commande sudo bash install.sh pour installer CSF sur votre système.
install.sh est un script d'installation qui télécharge automatiquement le dernier package CSF et l'installe sur votre système. Ce script effectue tout le travail acharné lié au téléchargement, à l'extraction et à l'installation des dépendances requises, etc. pour vous.
Un script d'installation est un fichier texte exécutable qui automatise le processus d'installation d'un programme ou d'un package sur votre système. Le script vérifie généralement ce qu'il doit installer, puis le télécharge et l'installe sur votre système. Cela réduit considérablement le temps que vous passerez à installer et à configurer des éléments, ainsi que les erreurs liées à la configuration manuelle des éléments.
cd csf && sudo bash install.sh
Le processus d'installation prend quelques minutes, alors attendons qu'il se termine. Une fois l'installation terminée, vous obtiendrez la sortie suivante.
À ce stade, vous avez correctement installé CSF sur votre serveur Linux Debian 10. Mais vous devriez vérifier si les modules iptables sont disponibles sur votre système. iptables est utilisé dans la création de règles CSF et de pare-feu.
5. Exécutez la commande sudo perl /usr/local/csf/bin/csftest.pl pour vérifier si les modules iptables sont disponibles.
sudo perl /usr/local/csf/bin/csftest.pl
Si vous obtenez une sortie comme ci-dessous, alors vous êtes tous prêts à partir.
Configuration des stratégies de pare-feu CSF
Maintenant que vous avez installé CSF sur votre serveur Debian Linux, il est temps de le configurer. Dans cette section, nous verrons comment configurer certaines stratégies de pare-feu CSF de base.
Le fichier de configuration csf.conf se trouve dans le répertoire /etc/csf et est utilisé pour définir les politiques et les règles du pare-feu CSF.
1. L'exécution de la commande sudo nano /etc/csf.conf ouvrira le fichier de configuration csf.conf. Cela vous permettra de modifier et d'afficher le contenu de ce fichier
sudo nano /etc/csf/csf.conf
La première chose que vous devrez faire est de configurer vos ports ouverts. Les ports ouverts vous permettent de définir les ports que vos utilisateurs peuvent utiliser pour accéder à vos backends.
Faites défiler jusqu'à la section "Autoriser les entrées" et "Autoriser les sorties" pour voir tous les ports ouverts. Les ports les plus couramment utilisés sont ouverts par défaut. Vous pouvez ouvrir des ports supplémentaires en ajoutant manuellement le numéro de port à la liste des ports ouverts si vous souhaitez autoriser les connexions par leur intermédiaire.
Mais n'oubliez pas que plus vous avez de ports ouverts, plus vous courez de risques. Vous ne voulez pas que votre serveur soit un canard assis pour les méchants. Gardez donc toujours ces ports ouverts sous contrôle et n'en ouvrez pas trop en même temps.
2. Par défaut, TESTER est défini sur 1. Vous devez le remplacer par 0 une fois que vous avez terminé vos tests,
Avant
Après
3. ConnLimit La directive CSF peut également limiter le nombre de connexions entrantes vers un port spécifique à une valeur donnée. Ceci est utile si vous souhaitez limiter le nombre de connexions simultanées à un port à la fois.
Par exemple, 22;1;443;10 configurerait votre pare-feu pour n'autoriser que des connexions spécifiques aux ports 22 et 443 à un moment donné. Cette valeur limite le nombre de connexions entrantes simultanées au port 22 à une seule à la fois et définit une limite de dix connexions entrantes simultanées au port 443 à la fois.
3. PORTFLOOD est utilisée pour spécifier le nombre de tentatives de connexion consécutives à partir d'une seule adresse IP qui doivent être bloquées par intervalle de temps. Par exemple, 22;tcp;3;3600 configurerait le pare-feu pour bloquer les connexions pendant 60 minutes (3600 secondes) si plus de 3 tentatives de connexion consécutives sur le port 22 sont détectées à partir d'une seule adresse IP. L'adresse IP bloquée sera automatiquement débloquée une fois les 3 600 secondes écoulées.
4. Enregistrez et fermez le fichier de configuration csf.conf une fois que vous avez terminé. Vous pouvez maintenant recharger votre pare-feu SF pour appliquer les modifications.
sudo csf -r
Exécutez la commande sudo csf -l pour vérifier si l'une de vos modifications a été synchronisée avec le pare-feu.
sudo csf -l
Conclusion
Dans cet article, nous avons appris comment installer et configurer CSF sur un serveur Debian Linux. CSF est un outil de pare-feu relativement nouveau qui vous permet de configurer facilement des politiques et des règles de pare-feu. CSF n'est peut-être pas la meilleure solution de pare-feu, mais c'est un bon point de départ pour un nouvel administrateur de pare-feu Linux. Laissez un commentaire si vous avez des questions ou des commentaires.