GNU/Linux >> Tutoriels Linux >  >> Debian

Comment installer Config Server Firewall (CSF) sur Debian 11

CSF est également connu sous le nom de "Config Server Firewall" est un pare-feu gratuit et avancé pour les systèmes Linux. Il est livré avec des fonctionnalités de sécurité avancées telles que les détections d'intrusion, d'inondation et de connexion. Il est conçu pour se défendre contre de nombreuses attaques, telles que les analyses de port, les inondations SYN et les attaques par force brute de connexion. Il fournit également une intégration pour cPanel, DirectAdmin et Webmin.

Ce didacticiel explique l'installation de CSF, la configuration de base et les commandes essentielles pour CSF sur Debian 11.

Prérequis

  • Un serveur exécutant Debian 11.
  • Un mot de passe root est configuré sur le serveur.

Mise en route

Avant de commencer, il est recommandé de mettre à jour vos packages système vers la version mise à jour. Vous pouvez le faire en utilisant la commande suivante :

apt-get update -y

Une fois tous les packages mis à jour, installez les autres dépendances requises à l'aide de la commande suivante :

apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y

Installer CSF sur Debian 11

Par défaut, le paquet CSF n'est pas inclus dans le référentiel par défaut de Debian 11. Vous devrez le télécharger depuis son site officiel.

Vous pouvez télécharger la dernière version de CSF avec la commande suivante :

wget http://download.configserver.com/csf.tgz

Une fois le téléchargement terminé, extrayez le fichier téléchargé avec la commande suivante :

tar -xvzf csf.tgz

Ensuite, changez le répertoire en CSF et exécutez le install.sh script pour installer CSF sur votre serveur.

cd csf
bash install.sh

Une fois le CSF installé, vous devriez obtenir le résultat suivant :

N'oubliez pas :1. Configurez les options suivantes dans la configuration csf en fonction de votre serveur :TCP_*, UDP_*2. Redémarrez csf et lfd3. Définissez TESTING sur 0 une fois que vous êtes satisfait du pare-feu, lfd ne s'exécutera pas tant que vous ne le ferez pas. revenir à l'utilisation de CURL/WGETA en ajoutant 106.222.22.32 à csf.allow uniquement en mode TEST (pas iptables ACCEPTER)*ATTENTION* Le mode TEST est activé - n'oubliez pas de le désactiver dans la configuration'lfd.service' -> '/usr /lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Création d'un lien symbolique /etc/systemd/system/multi-user.target.wants/csf .service → /lib/systemd/system/csf.service.Created symlink /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Failed to disable unit :Le fichier d'unité firewalld.service n'existe pas.Échec de l'arrêt de firewalld.service :l'unité firewalld.service n'est pas chargée.L'unité firewalld.service n'existe pas, continuez quand même.Création d'un lien symbolique /etc/systemd/system/firewalld.service → /dev /null.'/etc /csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Installation terminée

Après l'installation, vérifiez les modules iptables requis pour CSF à l'aide de la commande suivante :

perl /usr/local/csf/bin/csftest.pl

Si tout va bien, vous devriez obtenir le résultat suivant :

Test ip_tables/iptable_filter...OKTest ipt_LOG...OKTest ipt_multiport/xt_multiport...OKTest ipt_REJECT...OKTest ipt_state/xt_state...OKTest ipt_limit/xt_limit...OKTest ipt_recent...OKTest xt_connlimit.. .OKTesting ipt_owner/xt_owner...OKTesting iptable_nat/ipt_REDIRECT...OKTesting iptable_nat/ipt_DNAT...OKRESULT :csf devrait fonctionner sur ce serveur

Configurer CSF

Ensuite, vous devrez configurer CSF en fonction de vos besoins. Vous pouvez le configurer en éditant /etc/csf/csf.conf fichier.

nano /etc/csf/csf.conf

Tout d'abord, trouvez la ligne TESTING ="1", et changez la valeur en "0" pour activer le CSF :

TEST ="0"

Ensuite, recherchez la ligne RESTRICT_SYSLOG ="0" , et changez la valeur en 3 pour définir l'accès aux fichiers syslog/rsyslog uniquement pour les membres du RESTRICT_SYSLOG_GROUP :

RESTRICT_SYSLOG ="3"

Ajoutez vos ports ouverts TCP entrants requis dans la ligne suivante :

TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"

Ajoutez vos ports TCP sortants requis dans la ligne suivante :

# Autoriser les ports TCP sortantsTCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"

Ajoutez vos ports ouverts UDP entrants requis dans la ligne suivante :

# Autoriser les ports UDP entrantsUDP_IN ="20,21,53,80,443"

Ajoutez vos ports UDP sortants requis dans la ligne suivante :

# Autoriser les ports UDP sortantsUDP_OUT ="20,21,53,113,123"

Enregistrez et fermez le fichier puis rechargez le pare-feu CSF pour appliquer les modifications :

csf -r

Commandes CSF de base

Pour arrêter le pare-feu CSF, exécutez la commande suivante :

csf -s

Pour vider le pare-feu CSF, exécutez la commande suivante :

csf -f

Pour lister toutes les règles IPTABLES ajoutées par CSF, exécutez la commande suivante :

csf -l

Pour démarrer le CSF et lui permettre de démarrer au redémarrage du système, exécutez la commande suivante :

systemctl start csf
systemctl enable csf

Pour vérifier l'état du pare-feu CSF, exécutez la commande suivante :

statut systemctl csf

Vous devriez obtenir le résultat suivant :

 ? csf.service - Pare-feu et sécurité ConfigServer - csf chargé :chargé (/lib/systemd/system/csf.service ; activé ; préréglage fournisseur :activé) Actif :actif (quitté) depuis sam. 2021-09-18 15:42:04 UTC; Il y a 11 s Processus :8022 ExecStart=/usr/sbin/csf --initup (code=exited, status=0/SUCCESS) PID principal :8022 (code=exited, status=0/SUCCESS) CPU :705msSep 18 15:42 :04 debian11 csf[8022] :ACCEPTER tous les opt in * out lo ::/0 -> ::/018 sept. 15:42:04 debian11 csf[8022] :LOGDROPOUT all opt in * out !lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022] :LOGDROPIN all opt in !lo out * ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022] :csf :chargement FASTSTART DNS (IPv4)18 sept. 15:42:04 debian11 csf[8022] :csf :FASTSTART chargement DNS (IPv6)18 sept. 15:42:04 debian11 csf[8022] :LOCALOUTPUT all opt -- in * out !lo 0.0. 0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022] :LOCALNPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022] :LOCALOUTPUT tous les opt in * out !lo ::/0 -> ::/018 sept. 15:42:04 debian11 csf[8022] :LOCALNPUT tous les opt in !lo out * ::/0 -> ::/018 septembre 15:42:04 debian11 systemd[1] :pare-feu et sécurité de ConfigServer terminés - csf.
 

 Pour autoriser un hôte spécifique par adresse IP, exécutez la commande suivante :
 
csf -a 192.168.100.10
 

 Pour refuser un hôte spécifique par adresse IP, exécutez la commande suivante :
 
csf -d 192.168.100.11
 

 Pour supprimer l'adresse IP de la liste d'autorisation, exécutez la commande suivante :
 
csf-ar 192.168.100.10
 

 Pour supprimer l'adresse IP de la liste de refus, exécutez la commande suivante :
 
csf-dr 192.168.100.11
 

 Vous pouvez ajouter des adresses IP de confiance en modifiant /etc/csf/csf.allow fichier :
 
nano /etc/csf/csf.allow
 

 Ajoutez vos IP de confiance :
 
192.168.100.10
 

 Vous pouvez ajouter des adresses IP non approuvées en modifiant /etc/csf/csf.deny fichier :
 
nano /etc/csf/csf.deny
 

 Ajoutez vos adresses IP non approuvées :
 
192.168.100.11
 
Conclusion
 

 Dans le guide ci-dessus, nous avons expliqué comment installer le pare-feu CSF sur Debian 11. Nous vous montrons également quelques commandes CSF de base pour gérer votre trafic. Pour plus d'informations, consultez la documentation CSF.
Debian

  1. Comment installer le serveur Redis sur Debian 11

  2. Comment installer MySQL 8.0 / 5.7 sur Debian 11 / Debian 10

  3. Comment installer ProFTPD sur Debian 8

  4. Comment installer le serveur MySQL sur Debian 9

  5. Comment installer Odoo 12 sur Debian 9

Comment installer CSF (Config Server Firewall) sur CentOS 8

Comment installer FastPanel sur Debian 11

Comment installer I2P sur le serveur Debian :

Comment installer VNC sur Debian 10

Comment installer le serveur VNC sur Debian 11

Comment installer Config Server Firewall (CSF) sur Rocky Linux 8