Hướng dẫn cài đặt và cấu hình CSF (ConfigServer & Firewall)
Hướng dẫn chi tiết từng bước cài đặt và cấu hình cơ bản CSF (ConfigServer & Firewall) giúp người dùng quản lý firewall một cách tiên tiến và thuận tiện hơn.
Hướng dẫn cài đặt CSF
- Cài đặt module perl:
# yum install perl-libwww-perl
- Tải file nén chứa script cài đặt CSF:
# cd /tmp # wget https://download.configserver.com/csf.tgz
- Giải nén file vừa tải:
# tar -xzf csf.tgz
- Truy cập vào thư mục vừa được giải nén:
# cd csf
- Thực thi script cài đặt:
# sh install.sh
Lưu ý: Đối với các hệ thống có sử dụng web control panel như cPanel, DirectAdmin, CWP, Vesta… ta sẽ thực hiện cài đặt bằng script cài đặt tương ứng. Ví dụ:
# sh install.cpanel.sh hoặc # sh install.directadmin.sh hoặc # sh install.cwp.sh hoặc # sh install.vesta.sh
Hướng dẫn cấu hình CSF
Mặc định, sau khi cài đặt, CSF sẽ ở chế độ Testing, nghĩa là các cấu hình của CSF chưa được áp vào firewall của hệ thống. Để tắt chế độ Testing, ta thực hiện như sau:
- Mở file cấu hình CSF:
# nano /etc/csf/csf.conf
- Sửa lại thông số TESTING từ 1 thành 0:
TESTING = “0”
Và cùng tại file cấu hình csf.conf này, ta có thể quy định mở những port nào để người ngoài có thể truy cập được.
Ví dụ: Dưới đây ta sẽ mở port SSH (22), port FTP (20, 21), các port website (80, 443) và các port liên quan tới mail (25, 110, 143, 443, 465, 587, 993, 995):
# Allow incoming TCP ports TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”
Để whitelist một địa chỉ IP hoặc một range IP, ta dùng lệnh sau:
# csf -a 123.123.123.123hoặc# csf -a 123.123.123.0/24
Hoặc ta có thể thêm địa chỉ IP hoặc range IP đó vào file csf.allow như sau:
# nano /etc/csf/csf.allow123.123.123.123 # whitelist IP123.123.123.0/24 # whitelist IP range
Để blacklist một địa chỉ IP hoặc một range IP, ta dùng lệnh sau:
# csf -d 123.123.123.123hoặc# csf -d 123.123.123.0/24
Hoặc ta có thể thêm địa chỉ IP hoặc range IP đó vào file csf.allow như sau:
# nano /etc/csf/csf.deny123.123.123.123 # blacklist IP123.123.123.0/24 # blacklist IP range
Lưu ý: Khi thực hiện whitelist hay blacklist một địa chỉ IP hoặc range IP bằng cách chỉnh sửa file cấu hình, ta phải thêm phần ghi chú vào phía sau địa chỉ IP hoặc range IP đó và thực hiện reload lại CSF để nhận cấu hình:
# csf -r
Một số lệnh thường dùng của CSF
- Blacklist một địa chỉ IP
csf -d <IP>
- Xóa địa chỉ IP ra khỏi blacklist
csf -dr <IP>
- Whitelist một địa chỉ IP
csf -a <IP>
- Xóa địa chỉ IP ra khỏi whitelist
csf -ar <IP>
- Kiểm tra một địa chỉ IP có nằm trong whitelist hoặc blacklist hay không
csf -g <IP>
- Khởi động lại CSF
csf -r
- Tắt CSF
csf -x
- Mở CSF
csf -e
Nguồn: vinahost