Cài đặt CSF Firewall – ConfigServer Security & Firewall là một ứng dụng tường lửa cho phép phát hiện đăng nhập/xâm nhập và bảo mật cho các máy chủ Linux.
Cài đặt CSF Firewall – ConfigServer Security & Firewall (CSF) là một ứng dụng tường lửa cho phép phát hiện đăng nhập/xâm nhập và bảo mật cho các máy chủ Linux.
CentOS 7 sử dụng Firewalld thay vì iptables. Nhiều người dùng CentOS trung thành nhận thấy Firewalld quá phức tạp đối với nhu cầu của họ và đang quay trở lại iptables. Iptables là tường lửa tiêu chuẩn cho CentOS 5 và 6.
Trong bài viết này VINASTAR sẽ hướng dẫn các bạn cách tắt Firewalld, cài đặt iptables kết hợp với ConfigServer Security & Firewall (CSF) để tăng cường bảo mật cho VPS/Server Linux của mình.
Cài đặt CSF Firewall trên CentOS 7
1. Bước 1: Dừng và vô hiệu hóa tường lửa.
Để dừng và vô hiệu hoá Firewalld trên centos các bạn sử dụng 2 lệnh sau
systemctl disable firewalld systemctl stop firewalld
2. Bước 2: Cài đặt iptables.
Sau khi đã dừng và vô hiệu hoá Firewalld chúng ta tiến hành cài đặt ibtables
yum -y install iptables-services
- Tạo tập tin cần thiết bởi iptables.
touch /etc/sysconfig/iptables touch /etc/sysconfig/iptables6
systemctl start iptables systemctl start ip6tables
- Kích hoạt iptables mỗi khi khởi động lại VPS/Server.
systemctl enable iptables systemctl enable ip6tables
3. Bước 3: Cài đặt các thư viện cần thiết.
Tiếp theo các bạn tiến hành cài đặt các thư viện cần thiết cho việc hoạt động của CSF
yum -y install wget perl unzip net-tools perl-libwww-perl perl-LWP-Protocol-https perl-GDGraph
4. Bước 4: cài đặt CSF.
Sau khi đã cài đặt đầy đủ các thư viện chúng ta tiến hành cài đặt CSF. Việc cài đặt diễn ra hết sức đơn giản với các lệnh dưới đây
cd /opt wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh
- Loại bỏ các tập tin cài đặt.
cd / rm -rf /opt/csf rm /opt/csf.tgz
Bây giờ chúng ta sẽ kiểm tra xem CSF có thực sự hoạt động trên máy chủ không. Chúng tôi sẽ làm một bài kiểm tra để xác minh.
cd /usr/local/csf/bin/ perl csftest.pl
Nếu bạn thấy kết quả như hiển thị như bên dưới thì CSF sẽ hoạt động mà không gặp sự cố nào trên máy chủ của bạn.
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
5. Bước 5: Cấu hình CSF
Tiếp theo, chúng ta sẽ cần cấu hình CSF bằng cách chỉnh sửa file /etc/csf/csf.confcsf.conf. Trong bài viết này VINASTAR sẽ sử dụng nano editor để chỉnh sửa, các bạn có thể sử dụng VIM nếu muốn.
nano /etc/csf/csf.conf
Nếu gặp thông báo -bash: nano: command not found nghĩa là bạn chưa cài đặt nano, bạn có thể cài đặt nano bằng lệnh sau
yum -y install epel-release nano
Các bạn sẽ cần sửa một số thông số dưới đây
TESTING = "0" RESTRICT_SYSLOG = "3"
- Lưu ý: Để thuận tiện cho việc sửa khi sử dụng nano các bạn có thể sử dụng tổ hợp phím ctrl + w để tìm kiểm. (Chi tiết các bạn có thể xem trong video hướng dẫn).
Sau khi đã chỉnh sửa các bạn tiến hành khởi động csf
systemctl enable csf systemctl enable lfd systemctl start csf
Để kiểm tra xem csf đã hoạt động hay chưa các bạn có thể sử dụng lệnh dưới đây
service status csf
6. Mở Port SMTP
Theo mặc định CSF sẽ không mở TCP_OUT với port 465, điều này có thể sẽ khiến bạn gặp lỗi khi sử dụng SMTP mail. Để mở port 465 các bạn mở file /etc/csf/csf.conf và tìm dòng sau
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
Sửa lại thành
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,465,993,995"
Tiến hành khởi động lại CSF
csf -x csf -e
7. Một số lệnh cơ bản
Start CSF | csf -s |
Flush/Stop firewall rules (note: lfd may restart csf) | csf -f |
Restart CSF | csf -r |
Allow an IP | csf -a ip-address |
Deny IP | csf -d ip-address |
Remove and unblock all entries | csf -df |
Stop firewall | csf -x |
Enable firewall | csf -e |
8. Kết luận
Trong bài viết này VINASTAR sẽ hướng dẫn các bạn cách tắt Firewalld, cài đặt iptables kết hợp với ConfigServer Security & Firewall (CSF) để tăng cường bảo mật cho VPS/Server Linux của mình. Nếu có bắt kỳ ý kiến đóng góp nào các bạn có thể để lại bình luận bên dưới. Ngoài ra các bạn có thể xem thêm 10 tiêu chí lựa chọn VPS tốt nhất năm 2020.