Config Server Firewall (یا CSF) یک فایروال رایگان و پیشرفته برای اکثر توزیع های لینوکس و VPS مبتنی بر لینوکس است. علاوه بر عملکرد اصلی یک فایروال، فیلتر کردن بسته ها، CSF شامل سایر ویژگی های امنیتی مانند ورود به سیستم / نفوذ / تشخیص سیل است. CSF شامل یکپارچه سازی UI برای cPanel، DirectAdmin و Webmin است، اما این آموزش فقط استفاده از خط فرمان را پوشش می دهد. CSF قادر است بسیاری از حملات را تشخیص دهد، مانند اسکن پورت، سیل SYN، حملات brute force و .... این فایروال به گونه ای پیکربندی شده است که به طور موقت مشتریانی را که تشخیص داده می شود به سرور ابر حمله می کنند مسدود کند.
این آموزش برای VPS دبیان و اوبونتو نوشته شده است. اگر sudo نصب شده باشد، دستورات باید با مجوزهای root، با ورود به عنوان root با دستور زیر اجرا شوند:
sudo suتوجه: این آموزش امنیت IPv4 را پوشش می دهد. در لینوکس، امنیت IPv6 جدا از IPv4 حفظ می شود. به عنوان مثال، "iptables" فقط قوانین فایروال را برای آدرس های IPv4 حفظ می کند، اما یک همتای IPv6 به نام "ip6tables" دارد که می تواند برای حفظ قوانین فایروال برای آدرس های شبکه IPv6 استفاده شود.
اگر VPS شما برای IPv6 پیکربندی شده است، لطفاً به یاد داشته باشید که هر دو رابط شبکه IPv4 و IPv6 خود را با ابزارهای مناسب ایمن کنید.
امکانات
فایروال Config Server طیف گسترده ای از محافظت ها را برای VPS شما ارائه می دهد. CSF گزارشها را برای تلاشهای ناموفق برای ورود به سیستم در بازه زمانی منظم بررسی میکند و قادر است اکثر تلاشهای غیرمجاز برای دسترسی به سرور ابری شما را تشخیص دهد. شما می توانید اقدام مورد نظر CSF و پس از چند بار تلاش را در فایل پیکربندی تعریف کنید.
برنامه های زیر توسط این ویژگی پشتیبانی می شوند:
-
ردیابی پروسس هاCSF را می توان برای ردیابی پروسس به منظور شناسایی پروسس های مشکوک یا باز کردن پورت های شبکه پیکربندی کرد و در صورت شناسایی، یک ایمیل به مدیر سیستم ارسال کرد. که به شما کمک کند تا یک سوء استفاده احتمالی در VPS خود را شناسایی و متوقف کنید.
-
نظارت بر دایرکتوریمشاهده دایرکتوری /temp و سایر پوشههای مربوطه را برای اسکریپتهای مخرب نظارت میکند و در صورت شناسایی یک ایمیل برای مدیر سیستم ارسال میکند.
-
محدود کردن اتصالاتاز این ویژگی می توان برای محدود کردن تعداد اتصالات فعال همزمان از یک آدرس IP به هر پورت استفاده کرد. هنگامی که به درستی پیکربندی شود، ممکن است از سوء استفاده های روی سرور مانند حملات DoS جلوگیری کند.
-
تغییر مسیر آدرس پورت/IPCSF را می توان به گونه ای پیکربندی کرد که اتصالات از یک IP/پورت را به IP/پورت دیگری هدایت کند. توجه: پس از تغییر مسیر، آدرس اصلی مشتری، آدرس IP سرور خواهد بود.
-
لیست های بلوک IPاین ویژگی به CSF اجازه می دهد تا لیست آدرس های IP مسدود شده را به طور خودکار از منابع تعریف شده توسط شما دانلود کند.
نصب فایروال ConfigServer
مرحله 1: دانلود
CSF در حال حاضر در مخازن دبیان یا اوبونتو موجود نیست و باید از وب سایت ConfigServer دانلود شود.
wget http://download.configserver.com/csf.tgzاین کار CSF را در دایرکتوری فعلی شما دانلود می کند.
مرحله 2: از حالت فشرده خارج کردن
فایل دانلود شده یک بسته فشرده شده از فرمت tar است و قبل از استفاده باید از حالت فشرده خارج و استخراج شود.
tar -xzf csf.tgzمرحله 3: نصب
اگر از اسکریپت های پیکربندی فایروال دیگری مانند UFW استفاده می کنید، باید قبل از ادامه آن را غیرفعال کنید. قوانین Iptables به طور خودکار حذف می شوند.
UFW را می توان با اجرای دستور زیر غیرفعال کرد:
ufw disableاکنون زمان اجرای اسکریپت نصب کننده CSF است.
cd csfsh install.shفایروال اکنون نصب شده است، اما باید بررسی کنید که آیا ماژول های مورد نیاز iptables در دسترس هستند یا خیر:
perl /usr/local/csf/bin/csftest.plاگر هیچ خطای گزارش نشود، فایروال کار خواهد کرد.
توجه: آدرس IP شما در صورت امکان به لیست سفید اضافه شد. علاوه بر این، پورت SSH به طور خودکار باز شده است، حتی اگر از پورت سفارشی استفاده کند. فایروال همچنین به گونه ای پیکربندی شده است که حالت تست فعال باشد، به این معنی که قوانین iptables به طور خودکار پنج دقیقه پس از شروع CSF حذف می شوند. هنگامی که متوجه شدید که پیکربندی شما کار می کند، باید غیرفعال شود و شما قفل نخواهید شد.
در این آموزش طریقه نصب فایروال CSF در ابونتو را توضیح دادیم. امیدواریم این مقاله آموزشی برای شما مفید بوده باشد، برای دیدن باقی آموزش ها میتوانید وارد منوی پشتیبانی بخش آموزش ها شوید، در صورتی که درباره این آموزش به مشکل یا سوالی برخورد کردید، میتوانید آن را در بخش دیدگاه بیان کنید.
