Installez et configurez CSF (Config Server Firewall) et sécurisez votre Debian 11.
CSF est un outil de sécurité populaire pour Linux pour sécuriser le serveur avec un pare-feu d'inspection de paquets (SPI) avec état, une détection d'intrusion, un démon d'échec de connexion, une protection DDOS et l'intégration du panneau de contrôle.
Dans ce guide, vous allez apprendre à installer et configurer CSF ainsi que les commandes essentielles pour utiliser le pare-feu sur Debian 11
Configuration initiale
Mettez à jour les packages de serveur au plus tard.
sudo apt update sudo apt dist-upgrade -y
Si vous utilisez déjà UFW qui est un pare-feu de base, supprimez UFW à l'aide de la commande ci-dessous.
sudo apt remove ufw
Installer les dépendances
Installez les dépendances requises qui sont utilisées par CSF.
sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
Installez Sendmail qui est utilisé par CSF pour la communication.
Vous pouvez consulter cette documentation pour une configuration détaillée de Sendmail.
sudo apt install sendmail-bin
Vous avez maintenant toutes les dépendances pour installer et configurer CSF.
Installer CSF
Accédez à /usr/src répertoire.
Téléchargez le dernier package en utilisant wget .
sudo wget https://download.configserver.com/csf.tgz
Extrayez le package téléchargé.
sudo tar -xzvf csf.tgz
Installez maintenant CSF.
cd csf sudo sh install.sh
Vous recevrez maintenant une sortie comme ci-dessous qui indique l'installation réussie.
Installation Completed
Vérifiez si les modules iptables requis sont présents.
sudo perl /usr/local/csf/bin/csftest.pl
Vous recevrez une sortie similaire à celle ci-dessous.
Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server
Vous pouvez vérifier la version CSF à l'aide de la commande suivante.
sudo csf -v csf: v14.15 (generic) *WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
Configurer CSF
Une fois le pare-feu installé, il est configuré pour s'exécuter en mode TEST par défaut.
Pour désactiver le mode TEST, vous devez modifier le /etc/csf/csf.conf fichier.
sudo nano /etc/csf/csf.conf
Localisez la ligne TESTING ="1" , et remplacez la valeur par "0" .
TESTING = "0"
Localisez la ligne RESTRICT_SYSLOG ="0" , et remplacez la valeur par "3" . Cela signifie que seuls les membres du RESTRICT_SYSLOG_GROUP peut accéder à syslog/rsyslog fichiers.
RESTRICT_SYSLOG = "3"
Tapez CTRL+X suivi de Y et ENTER pour enregistrer et quitter le fichier.
Recharger CSF.
csf -ra
Configuration supplémentaire
Pour autoriser des connexions de ports supplémentaires.
Modifier /etc/csf/csf.conf
Localisez la directive TCP_IN et ajoutez vos ports.
# Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"
J'ai ajouté le port MYSQL pour me connecter à un serveur distant.
Redémarrez CSF après chaque modification.
sudo csf -ra
Commandes essentielles pour gérer CSF
Démarrer le CSF
sudo csf -s
Arrêter le CSF
sudo csf -f
Redémarrer CSF
Vous devez redémarrer CSF à chaque modification du fichier de configuration.
sudo csf -ra
Autoriser l'adresse IP
Utilisez le -a option pour autoriser l'adresse IP.
sudo csf -a 10.0.2.12
Refuser l'adresse IP
Utilisez le -d option pour autoriser l'adresse IP.
sudo csf -d 10.0.2.12
Supprimer l'IP de la liste d'autorisation
sudo csf -ar 10.0.2.12
Supprimer l'IP de la liste de refus
sudo csf -dr 10.0.2.12
Vérifier si l'IP est bloquée
sudo csf -g IP-ADDRESS
Supprimer l'IP du bloc
sudo css -tr IP-ADDRESS
Autoriser les listes d'adresses IP
Ajoutez vos adresses IP répertoriées sur une ligne distincte dans le fichier d'autorisation /etc/csf/csf.allow .
Refuser les listes d'adresses IP
Ajoutez vos adresses IP répertoriées sur une ligne distincte dans le fichier d'autorisation /etc/csf/csf.deny .
Conclusion
Vous avez maintenant appris à sécuriser votre serveur en installant et en configurant CSF dans Debian 11.
Merci pour votre temps. Si vous rencontrez un problème ou des commentaires, veuillez laisser un commentaire ci-dessous.