GNU/Linux >> Tutoriels Linux >  >> Linux

Comment sécuriser votre serveur Ubuntu avec le pare-feu CSF

Installez et configurez CSF (Config Server Firewall) et sécurisez votre serveur.

CSF est un outil de sécurité populaire pour Linux pour sécuriser le serveur avec un pare-feu d'inspection de paquets (SPI) avec état, une détection d'intrusion, un démon d'échec de connexion, une protection DDOS et l'intégration du panneau de contrôle.

Dans ce guide, vous allez apprendre à installer et à configurer CSF ainsi que les commandes essentielles pour utiliser le pare-feu sur Ubuntu 20.04.

Configuration initiale

Mettez à jour les packages de serveur au plus tard.

sudo apt update

Par défaut, Ubuntu 20.04 est livré avec UFW qui est un pare-feu de base. Supprimez UFW à l'aide de la commande ci-dessous.

sudo apt remove ufw

Installer les dépendances

Installez les dépendances requises qui sont utilisées par CSF.

sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl

Installez Sendmail qui est utilisé par CSF pour la communication.

Vous pouvez consulter cette documentation pour une configuration détaillée de Sendmail.

sudo apt install sendmail-bin

Vous avez maintenant toutes les dépendances pour installer et configurer CSF.

Installer CSF

Accédez à /usr/src répertoire.

Téléchargez le dernier package en utilisant wget .

sudo wget https://download.configserver.com/csf.tgz

Extrayez le package téléchargé.

sudo tar -xzvf csf.tgz

Installez maintenant CSF.

cd csf
sudo sh install.sh

Vous recevrez maintenant une sortie comme ci-dessous qui indique l'installation réussie.

Installation Completed

Vérifiez si les modules iptables requis sont présents.

sudo perl /usr/local/csf/bin/csftest.pl

Vous recevrez une sortie similaire à celle ci-dessous.

Testing ip_tables/iptable_filter…OK
Testing ipt_LOG…OK
Testing ipt_multiport/xt_multiport…OK
Testing ipt_REJECT…OK
Testing ipt_state/xt_state…OK
Testing ipt_limit/xt_limit…OK
Testing ipt_recent…OK
Testing xt_connlimit…OK
Testing ipt_owner/xt_owner…OK
Testing iptable_nat/ipt_REDIRECT…OK
Testing iptable_nat/ipt_DNAT…OK
RESULT: csf should function on this server

Vous pouvez vérifier la version CSF à l'aide de la commande suivante.

sudo csf -v

csf: v14.10 (generic)
*WARNING* TESTING mode is enabled - do not forget to disable it in the configuration

Configurer le CSF

Une fois le pare-feu installé, il est configuré pour s'exécuter en mode TEST par défaut.

Pour désactiver le mode TEST, vous devez modifier le /etc/csf/csf.conf fichier.

sudo nano /etc/csf/csf.conf

Localisez la ligne TESTING ="1" , et remplacez la valeur par "0" . 

TESTING = "0"

Localisez la ligne RESTRICT_SYSLOG ="0" , et remplacez la valeur par "3" . Cela signifie que seuls les membres du RESTRICT_SYSLOG_GROUP peut accéder à syslog/rsyslog fichiers.

RESTRICT_SYSLOG = "3"

Tapez CTRL+X suivi de Y et ENTER pour enregistrer et quitter le fichier.

Recharger CSF.

csf -ra

Configuration supplémentaire

Pour autoriser des connexions de ports supplémentaires.

Modifier /etc/csf/csf.conf

Localisez la directive TCP_IN et ajoutez vos ports.

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"

J'ai ajouté le port MYSQL pour me connecter à un serveur distant.

Redémarrez CSF après chaque modification.

sudo csf -ra

Commandes essentielles pour gérer le CSF

Démarrer le CSF

sudo csf -s

Arrêter le CSF

sudo csf -f

Redémarrer CSF

Vous devez redémarrer CSF à chaque modification du fichier de configuration.

sudo csf -ra

Autoriser l'adresse IP

Utilisez le -a option pour autoriser l'adresse IP.

sudo csf -a 10.0.2.12

Refuser l'adresse IP

Utilisez le -d option pour autoriser l'adresse IP.

sudo csf -d 10.0.2.12

Supprimer l'adresse IP de la liste d'autorisation

sudo csf -ar 10.0.2.12

Supprimer l'adresse IP de la liste de refus

sudo csf -dr 10.0.2.12

Vérifiez si l'IP est bloquée

sudo csf -g IP-ADDRESS

Supprimer l'IP du bloc

sudo css -tr IP-ADDRESS

Autoriser les listes d'adresses IP

Ajoutez vos adresses IP répertoriées sur une ligne distincte dans le fichier d'autorisation /etc/csf/csf.allow .

Refuser les listes d'adresses IP

Ajoutez vos adresses IP répertoriées sur une ligne distincte dans le fichier d'autorisation /etc/csf/csf.deny .

Conclusion

Vous avez maintenant appris à sécuriser votre serveur en installant et en configurant CSF dans Ubuntu 20.04.

Merci pour votre temps. Si vous rencontrez un problème ou des commentaires, veuillez laisser un commentaire ci-dessous.


Linux

  1. Comment installer Elgg avec Nginx sur Ubuntu 18.04

  2. Comment sécuriser Nginx avec Let's Encrypt sur Ubuntu 20.04

  3. Comment configurer un pare-feu avec CSF sur Debian 9

  4. Comment ajouter une adresse IP supplémentaire à votre serveur Ubuntu 18.04

  5. Comment configurer un serveur de messagerie POP3 / IMAP avec Dovecot sur Ubuntu 18.04

Comment configurer un serveur FTP avec ProFTPD dans Ubuntu 18.04

Comment installer le pare-feu CSF sur Ubuntu 20.04

Comment configurer un serveur de messagerie avec Modoboa sur Ubuntu 20.04

Comment sécuriser SSH avec Fail2Ban

Comment sécuriser Nginx avec Let's Encrypt sur Ubuntu 20.04

Comment sécuriser votre site Web avec Let's Encrypt sur Ubuntu 20.04