frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

CSF ugniasienės valdymo sistemos diegimas

IV_VygandasSIV_VygandasS Serverių ekspertas (-ė)
edited rugsėjo 25 Į Serverių saugumas
Šioje pamokoje pateikiame instrukcijas CSF apsaugos sistemos diegimui Ubuntu aplinkoje.

Config Server Firewall (CSF) - nemokama ugniasienės valdymo sistema, kuri gali atlikti papildomai ir nepageidaujamų prisijungimų/įsibrovimų bei "flood" aptikimo funkcijas.

1. Kadangi Ubuntu bei Debian repozitorijose šiuo metu nėra CSF paketų. Atsiunčiame CSF archyvą:
wget http://www.configserver.com/free/csf.tgz

2. Išskleidžiame atsiųstą archyvą:
tar -xzf csf.tgz

3. Jeigu yra naudojamas kitas ugniasienės konfigūravimo skriptas, prieš įdiegiant įsitikiname, kad naudojami skriptai (kaip pvz. UFW) yra išjungti. "iptables" taisyklės yra pašalinamos automatiškai.

UFW atveju įvykdome šią komandą:
ufw disable

4. Paleidžiame CSF įdiegimo skriptą:
cd csf
sh install.sh

5. Pasibaigus CSF įdiegimo skripto veikimui, patikriname ar serveryje yra reikalingi "iptables" moduliai:
perl /usr/local/csf/bin/csftest.pl

Pastaba: SSH naudojamas prievadas yra atidaromas automatiškai, netgi jeigu ir yra naudojamas ne pagal nutylėjimą numatytas tarnybos prievadas. Pradinė ugniasienės konfigūracija yra nustatyta veikti su įjungtu testavimo rėžimu - tai reiškia, kad "iptables" taisyklės bus automatiškai pašalinamos po 5 minučių nuo CSF paleidimo. Įsitikinus, jog taikomos taisyklės veikia kaip numatyta, paskutinę funkciją reikės pašalinti.

CSF konfigūracija gali būti redaguojama "csf.conf" faile:
nano /etc/csf/csf.conf

Pagal nutylėjimą CSF konfigūracijoje yra nurodyti šie atidaryti prievadai:
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443"

UDP_IN = "20,21,53"

UDP_OUT = "20,21,53,113,123"

Testavimo rėžimas yra išjungiamas ties parametru "TESTING =" nurodžius "0" vertę:
TESTING = "0"

Atlikti pakeitimai gali būti pritaikomi naudojant šią komandą:
csf -r

Neblokuotini IP adresai gali būti nurodomi šiame faile:
nano /etc/csf/csf.allow

IP adresai kuriems yra netaikomi CSF filtrai, tačiau blokuojami jeigu jie yra įtraukti "csf.deny" sąraše yra talpinami šiame faile:
nano /etc/csf/csf.ignore
Pažymėtos temos:
Norėdami palikti komentarą, turite prisijungti arba registruokis.