CSF(Config Server Firewall)防火墙

Posted on Posted in 防火墙
Tips: 本文创建于2015年9月17日,已超过 2 年,内容或图片可能已经失效!

SCF(Config Server Firewall),使用了iptables,易于管理,而且对于不擅于输入命令的用户提供了web界面。
[官网][1]

安装

  1. cd /usr/local/src/  
  2. wget https://download.configserver.com/csf.tgz  
  3. tar -xzf csf.tgz  
  4. cd csf  
  5. sh install.sh  

配置文件

  1. /etc/csf/csf.conf  

默认情况下CSF是以测试模式运行。通过将"TESTING"的值设置成0,切换到product模式。

  1. TESTING = "0"  

下面要设置的就是服务器上允许通过的端口。在csf.conf中定位到下面的部分,根据需要修改端口:

  1. # 允许入站的 TCP 端口  
  2. TCP_IN = "20,21,25,53,80,110,143,443,465,587,993,995,16543"  
  3. # 允许出站的 TCP 端口  
  4. TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,16543"  
  5. # 允许入站的 UDP 端口  
  6. UDP_IN = "20,21,53"  
  7. # 允许出站的 UDP 端口  
  8. # 要允许发出 traceroute 请求,请加 33434:33523 端口范围到该列表   
  9. UDP_OUT = "20,21,53,113,123"  

允许你的IP地址通过防火墙,而绝不被屏蔽,这一点很重要。IP地址定义在下面的文件中:

  1. /etc/csf/csf.ignore  

被屏蔽了的IP地址会出现在这个文件中:

  1. /etc/csf/csf.deny  

一旦完成更改,使用这个命令重启csf:

  1. sudo /etc/init.d/csf restart   
  2. #或  
  3. csf -r  

下面是在某台服务器上的csf.deny文件的部分内容,来说明CSF是很有用的:

  1. 211.216.48.205 # lfd: (sshd) Failed SSH login from 211.216.48.205 (KR/Korea, Republic of/-): 5 in the last 3600 secs - Fri Mar 6 00:30:35 2015  
  2. 103.41.124.53 # lfd: (sshd) Failed SSH login from 103.41.124.53 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 01:06:46 2015  
  3. 103.41.124.42 # lfd: (sshd) Failed SSH login from 103.41.124.42 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 01:59:04 2015  
  4. 103.41.124.26 # lfd: (sshd) Failed SSH login from 103.41.124.26 (HK/Hong Kong/-): 5 in the last 3600 secs - Fri Mar 6 02:48:26 2015  
  5. 109.169.74.58 # lfd: (sshd) Failed SSH login from 109.169.74.58 (GB/United Kingdom/mail2.algeos.com): 5 in the last 3600 secs - Fri Mar 6 03:49:03 2015  

如果某个账户在很长一段时间内都不会被使用了,那么可以将其锁住以防止其它人访问。使用如下命令:

  1. passwd -l accountName  

转自[Linux 服务器安全技巧][2]

[1]: http://www.configserver.com/cp/csf.html
[2]: https://linux.cn/article-5748-1.html

» 转载请注明来源:若我若鱼 » CSF(Config Server Firewall)防火墙

Leave a Reply

Your email address will not be published. Required fields are marked *

four × 4 =