L'une des premières choses à faire après l'installation de CentOS 7 est de configurer un pare-feu décent. Le pare-feu normal qui est préinstallé sur CentOS s'appelle iptables - et même s'il s'agit d'une solution très complète, il est généralement destiné aux utilisateurs plus expérimentés, et en raison de sa courbe d'apprentissage plus abrupte, il peut sembler peu intuitif de commencer. C'est pourquoi nous recommandons une solution tierce appelée ConfigServer Security &Firewall (CSF). Il est gratuit, open source et constitue l'un des meilleurs moyens de gérer vos besoins en matière de pare-feu sur CentOS.
Dans ce didacticiel, nous expliquerons en détail comment installer, configurer et bloquer les ports à l'aide de CSF. Ce tutoriel se concentre sur l'installation de CSF sur un VPS CentOS 7.
Étape 1 :Vérification des prérequis
Le package CSF s'appuie sur Perl pour certaines de ses fonctionnalités. Nous devons donc d'abord nous assurer que Perl est installé en exécutant la commande suivante :
yum list installed perl
Vous devriez voir quelque chose comme ceci si Perl est installé :
S'il n'est pas installé, vous pouvez l'installer en tapant :
sudo yum install perl
Et tu as fini. Nous pouvons maintenant procéder à l'installation du CSF.
Étape 2 :Téléchargement, extraction et installation de CSF
Vous pouvez utiliser notre commande ci-dessous pour télécharger et extraire directement la dernière version de CFS en utilisant leur lien de téléchargement direct actuel. Si le lien change, visitez la page Web de CFS pour le dernier lien de téléchargement pour CSF. Vous devriez le trouver ici, comme ceci :
Copiez le lien. Maintenant, nous pouvons tout télécharger et extraire en même temps, comme ceci :
wget -qO- https://download.configserver.com/csf.tgz | tar xvz
Cela crée un nouveau dossier appelé "csf". Accédez-y :
cd csf
Et installez le package :
sudo sh install.sh
L'installation devrait se terminer rapidement. Nous pouvons maintenant activer le script qui nous indique que CSF est prêt à être installé. Il vérifiera la configuration de notre système et nous dira si tout est en ordre :
perl /usr/local/csf/bin/csftest.pl
Si tout se passe bien, vous devriez obtenir une sortie comme celle-ci :
Cela signifie que CSF est prêt à fonctionner sur votre système.
Étape 3 :Assurez-vous de ne pas vous enfermer
Tout d'abord, avant d'activer une solution de pare-feu, vous devez vous assurer de deux choses :
- Votre port SSH est ouvert
- Votre adresse IP est sur liste blanche
Remarque : Sans ces deux facteurs clés, vous risquez de vous retrouver bloqué sur votre propre serveur ! CSF est suffisamment intelligent pour mettre automatiquement les deux en liste blanche. Même si vous utilisez un port SSH personnalisé, CSF l'ajoutera à sa liste de ports sur liste blanche. Cependant, même avec cette protection supplémentaire, c'est toujours une bonne idée de vérifier cela.
Pour ce faire, ouvrez le fichier de configuration CSF /etc/csf/csf.conf dans votre éditeur de texte préféré. Par exemple :
nano /etc/csf/csf.conf
Faites maintenant défiler jusqu'à la ligne appelée "TCP_IN". Il s'agit d'une liste de ports séparés par des virgules auxquels l'accès est autorisé. La plupart des plus courants sont déjà sur liste blanche, comme ceux pour HTTP et HTTPS. Cependant, notez que le dernier port est "7022":
"7022" est le port SSH personnalisé configuré sur ce serveur. Ainsi, CSF a fait son travail et l'a automatiquement ajouté à la liste des ports autorisés.
CSF comprend également un démon de connexion qui surveille les tentatives répétées d'infiltration de votre serveur. Le service s'appelle lfd , et nous devrions l'activer en définissant la variable "TESTING" sur "0" dans le fichier de configuration CSF, comme ceci :
Enregistrez vos modifications et CSF est maintenant configuré et prêt à fonctionner.
Étape 4 :Activer CSF
Pour démarrer CSF et lui permettre d'opérer sa magie, nous devons utiliser la commande suivante :
systemctl start csf
Et nous pouvons tester le statut comme ceci :
systemctl status csf
Ce qui nous donne le résultat suivant :
Maintenant, vérifions-le.
Étape 5 :Vérifier que le port est ouvert/fermé
La dernière version de Windows est livrée avec PowerShell. Vous pouvez l'utiliser pour tester si un port est ouvert sur un hôte distant. Supposons donc que nous voulions vérifier le numéro de port 7022 (SSH sur ce serveur), nous pouvons le faire comme ceci :
Test-NetConnection -ComputerName 206.196.115.159 -Port 7022
(N'oubliez pas de remplacer l'adresse IP par celle qui est attribuée à votre serveur)
Cette commande doit se terminer par un message "succès" ou "échec" comme celui-ci :
Vous pouvez l'utiliser pour vérifier si CSF fonctionne comme il se doit. Vérifiez quelques-uns des ports et ajoutez-en de nouveaux à la variable "TCP_IN" dans le fichier de configuration CSF pour voir si tout fonctionne comme il se doit.
Si c'est le cas, félicitations ! Vous avez correctement configuré CSF sur votre VPS CentOS.
Bien sûr, si vous êtes l'un de nos clients d'hébergement CentOS , vous n'avez pas besoin d'installer CSF sur votre VPS CentOS 7 - demandez simplement à nos administrateurs, asseyez-vous et détendez-vous. Nos administrateurs installeront immédiatement CSF sur CentOS 7 pour vous.
PS. Si vous avez aimé cet article sur l'installation de CSF sur un VPS CentOS 7, partagez-le avec vos amis sur les réseaux sociaux à l'aide des boutons ci-dessous, ou laissez simplement un commentaire dans la section des commentaires. Merci.