CSF, également connu sous le nom de "Config Server Firewall", est l'une des applications de pare-feu les plus populaires et les plus utiles pour Linux. Il est basé sur Iptables et aide à sécuriser votre serveur contre les inondations SYN, les analyses de port et les attaques par force brute. CSF surveille les fichiers journaux et, lorsque des tentatives erronées sont détectées à partir d'une adresse IP spécifique, elles sont temporairement bloquées. CSF fournit également une interface utilisateur Web qui peut être utilisée pour bloquer et débloquer des adresses IP distantes à partir d'un navigateur Web. Il peut également être intégré à cPanel, DirectAdmin et Webmin.
Dans ce tutoriel, nous expliquerons comment installer CSF sur Ubuntu 20.04.
Prérequis
• Un nouveau VPS Ubuntu 20.04 sur la plateforme cloud Atlantic.Net
• Un mot de passe root configuré sur votre serveur
Étape 1 - Créer un serveur cloud Atlantic.Net
Tout d'abord, connectez-vous à votre serveur Atlantic.Net Cloud. Créez un nouveau serveur en choisissant Ubuntu 20.04 comme système d'exploitation avec au moins 1 Go de RAM. Connectez-vous à votre serveur cloud via SSH et connectez-vous à l'aide des informations d'identification mises en évidence en haut de la page.
Une fois que vous êtes connecté à votre serveur Ubuntu 20.04, exécutez la commande suivante pour mettre à jour votre système de base avec les derniers packages disponibles.
apt-get update -y
Étape 2 - Installer les dépendances requises
Tout d'abord, vous devrez installer certaines dépendances requises pour CSF. Vous pouvez installer toutes les dépendances avec la commande suivante :
apt-get install sendmail dnsutils unzip git perl iptables libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
Une fois toutes les dépendances installées, vous pouvez procéder à l'installation de CSF.
Étape 3 - Installer CSF
wget http://download.configserver.com/csf.tgz
Une fois téléchargé, extrayez le fichier téléchargé avec la commande suivante :
tar -xvzf csf.tgz
Ensuite, remplacez le répertoire par le répertoire extrait et installez CSF en exécutant le script install.sh :
cd csf bash install.sh
Une fois l'installation terminée avec succès, vous devriez obtenir le résultat suivant :
Installation Completed
Ensuite, vérifiez si tous les modules Iptables requis sont installés avec la commande suivante :
perl /usr/local/csf/bin/csftest.pl
Si tout va bien, vous devriez obtenir le résultat suivant :
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Étape 4 - Configurer CSF
Ensuite, vous devrez configurer CSF selon votre norme de sécurité. Vous pouvez le configurer en éditant le fichier /etc/csf/csf.conf :
nano /etc/csf/csf.conf
Modifiez la ligne suivante selon vos besoins :
TESTING = "0" RESTRICT_SYSLOG = "3" TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" # Allow incoming UDP ports UDP_IN = "20,21,53,80,443" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" # Allow incoming PING. Disabling PING will likely break external uptime # monitoring ICMP_IN = "1"
Enregistrez et fermez le fichier, puis redémarrez le CSF avec la commande suivante :
csf -r
Ensuite, exécutez la commande suivante pour lister toutes les règles Iptables :
csf -l
Vous devriez obtenir le résultat suivant :
iptables mangle table ===================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 46 packets, 3014 bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination iptables raw table ================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 27 packets, 15972 bytes) num pkts bytes target prot opt in out source destination iptables nat table ================== Chain PREROUTING (policy ACCEPT 19 packets, 1410 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination
Étape 5 :Activer l'interface utilisateur Web CSF
CSF fournit une interface Web pour gérer le pare-feu à partir d'un navigateur Web. Par défaut, il est désactivé dans le fichier de configuration par défaut du CSF, vous devrez donc d'abord l'activer.
Modifiez le fichier de configuration principal CSF avec la commande suivante :
nano /etc/csf/csf.conf
Modifiez les lignes suivantes :
#Enable Web UI UI = "1" #Listening Port UI_PORT = "8080" #Admin username UI_USER = "admin" #Admin user password UI_PASS = "your-password" #Listening Interface UI_IP = ""
Enregistrez et fermez le fichier lorsque vous avez terminé. Ensuite, vous devrez modifier le fichier /etc/csf/ui/ui.allow et ajouter l'adresse IP de votre serveur et l'adresse IP de la machine distante à partir de laquelle vous souhaitez accéder à l'interface utilisateur Web CSF.
nano /etc/csf/ui/ui.allow
Ajoutez l'IP de votre serveur et l'IP de la machine distante :
your-server-ip remote-machine-ip
Enregistrez et fermez le fichier, puis redémarrez le service CSF et LFD pour appliquer les modifications :
csf -r service lfd restart
À ce stade, CSF est démarré et écoute sur le port 8080. Vous pouvez le vérifier avec la commande suivante :
ss -antpl | grep 8080
You should get the following output:
LISTEN 0 5 0.0.0.0:8080 0.0.0.0:* users:(("lfd UI",pid=34346,fd=4)) Étape 6 - Accéder à l'interface Web CSF
Maintenant, ouvrez votre navigateur Web et tapez l'URL http://your-server-ip:8080. Vous serez redirigé vers la page de connexion CSF :
Indiquez votre nom d'utilisateur et votre mot de passe d'administrateur et cliquez sur le bouton Entrée. Vous devriez voir le tableau de bord CSF dans l'écran suivant :
À partir de là, vous pouvez gérer votre pare-feu et bloquer et débloquer facilement n'importe quelle adresse IP.
Étape 7 - Gérer le CSF avec la ligne de commande
Vous pouvez également gérer le pare-feu CSF (par exemple, autoriser, refuser ou supprimer une adresse IP) à partir de l'interface de ligne de commande.
Pour répertorier toutes les règles de pare-feu, exécutez la commande suivante :
csf -l
Pour arrêter CSF, exécutez la commande suivante :
csf -s
Pour autoriser une adresse IP spécifique, exécutez la commande suivante :
csf -a ip-address
Pour refuser une adresse IP, exécutez la commande suivante :
csf -d ip-address
Pour supprimer l'adresse IP bloquée d'une règle CSF, exécutez la commande suivante :
csf -dr ip-address
Pour vérifier si l'adresse IP est bloquée ou non, exécutez la commande suivante :
csf -g ip-address
Pour vider les règles de pare-feu CSF, exécutez la commande suivante :
csf -f
Pour désactiver CSF, exécutez la commande suivante :
csf -x
Conclusion
Toutes nos félicitations! Vous avez installé avec succès le pare-feu CSF sur Ubuntu 20.04. Vous avez également activé une interface utilisateur Web pour gérer CSF à partir d'un navigateur Web. Essayez CSF dès aujourd'hui sur l'hébergement VPS d'Atlantic.Net.