A Linux szerverek óriási népszerűségre tettek szert a vállalkozások és magánszemélyek körében rugalmasságuk, költséghatékonyságuk és erőteljes teljesítményük miatt. Ezeknek a szervereknek a biztonságának biztosítása azonban kiemelkedő fontosságú.

Ebben a cikkben megvizsgáljuk, hogyan védheti meg Linux szervereit a CSF (ConfigServer Security & Firewall) vagy hasonló szoftver használatával, és linkeket és példákat biztosítunk szervere megerősítéséhez.

Mi az a CSF?

A CSF egy erőteljes, állapottartó tűzfal, amelyet kifejezetten Linux szerverekhez terveztek. Könnyen használható felületet és átfogó biztonsági funkciókat kínál, ami népszerű választássá teszi a rendszergazdák körében.

A CSF nem csak tűzfal, hanem behatolásészlelő rendszer is, amely aktívan figyeli és blokkolja a rosszindulatú tevékenységeket.

Többet megtudhat a CSF-ről és funkcióiról a hivatalos weboldalon: ConfigServer Security & Firewall .

Miért válassza a CSF-et?

Számos oka van annak, hogy a CSF-et válassza más tűzfal megoldások helyett Linux szerveréhez:

  • Egyszerű telepítés és beállítás
  • Rendszeres frissítések és aktív közösségi támogatás
  • Kompatibilitás a legtöbb Linux disztribúcióval és vezérlőpanellel
  • Átfogó biztonsági funkciók, beleértve a behatolásészlelést és a bejelentkezési hibák követését
  • Testreszabható konfigurációs lehetőségek

A CSF telepítése és konfigurálása

A CSF telepítése előtt fontos, hogy eltávolítsa vagy letiltsa a szerveren lévő egyéb tűzfalakat. Kövesse ezeket a lépéseket a CSF telepítéséhez és konfigurálásához:

  1. Jelentkezzen be a szerverére root felhasználóként SSH-n keresztül.
  2. Töltse le a CSF legújabb verzióját a következő paranccsal:
1wget https://download.configserver.com/csf.tgz
  1. Csomagolja ki a letöltött archívumot:
1tar -xzf csf.tgz
  1. Navigáljon a kicsomagolt könyvtárba és futtassa a telepítő szkriptet:
1cd csf
2sh install.sh
  1. Nyissa meg a konfigurációs fájlt a /etc/csf/csf.conf helyen kedvenc szövegszerkesztőjével (pl. nano vagy vim). Szabja testre a beállításokat biztonsági igényeinek megfelelően.
  2. A CSF konfigurálása után tesztelje szervere kompatibilitását a következő futtatásával:
1perl /usr/local/csf/bin/csftest.pl
  1. Ha a teszt sikeres, engedélyezze a CSF-et a TESTING beállítás 0-ra változtatásával a konfigurációs fájlban.
  2. Indítsa újra a CSF-et a változtatások alkalmazásához:
1csf -r

Részletesebb utasításokért és konfigurációs lehetőségekért tekintse meg a hivatalos CSF dokumentációt .

Optimális CSF konfiguráció a fokozott biztonság érdekében

Íme néhány ajánlott beállítás az optimális CSF konfigurációhoz Linux szervere biztonságának javítása érdekében.

Ne feledje, hogy ezek a beállítások nem feltétlenül alkalmasak minden szerver környezethez, ezért fontos, hogy a saját igényeinek megfelelően alakítsa őket. Mindig tesztelje a változtatásokat, mielőtt éles szerveren alkalmazná őket.

  1. Bejövő és kimenő kapcsolatok korlátozása

Korlátozza a bejövő és kimenő kapcsolatokat csak a szükséges portokra a TCP_IN, TCP_OUT, UDP_IN és UDP_OUT szakaszokban. Például:

1TCP_IN = "22,80,443"
2TCP_OUT = "22,80,443,53"
3UDP_IN = "53"
4UDP_OUT = "53"
  1. Bejelentkezési hiba észlelés engedélyezése

Győződjön meg arról, hogy a CSF követi a bejelentkezési hibákat az LF_* opciók engedélyezésével a konfigurációs fájlban:

1LF_TRIGGER = "5"
2LF_SSHD = "5"
3LF_FTPD = "10"
4LF_SMTPAUTH = "5"
5LF_POP3D = "10"
6LF_IMAPD = "10"

Ez a példa 5 sikertelen bejelentkezési kísérlet után ideiglenes blokkolást állít be a megadott időszakon belül SSH, FTP, SMTP, POP3 és IMAP esetén.

  1. Folyamatkövetés engedélyezése

Figyelje a szerver folyamatokat gyanús tevékenységek után a folyamatkövetés engedélyezésével:

1PT_LIMIT = "60"
2PT_USERMEM = "200"
3PT_USERTIME = "1800"
4PT_USERKILL = "1"

Ez a példa 60 másodperces intervallumot állít be a folyamatkövetéshez, 200 MB memóriahasználati korláttal, 1800 másodperces maximális folyamatidővel és a korlátokat meghaladó folyamatok leállításának lehetőségével.

  1. Ne felejtse el újraindítani a CSF-et a konfigurációs fájl módosítása után:
1csf -r

Profilok használata a CSF-ben a fokozott biztonság érdekében

A CSF profilok előre definiált konfigurációs beállítások, amelyek meghatározott felhasználási esetekre vagy biztonsági szintekre vannak szabva. Lehetővé teszik a gyors váltást különböző konfigurációk között anélkül, hogy manuálisan kellene módosítania az egyes beállításokat.

Ez különösen hasznos lehet, ha szigorúbb biztonsági intézkedéseket szeretne érvényesíteni, vagy ideiglenesen lazítani a szabályokon. Ebben a részben elmagyarázzuk, mik azok a profilok, hogyan kell használni őket, és néhány megfontolandó szempontot az alkalmazásukhoz.

Mik azok a CSF profilok?

A CSF profilok lényegében konfigurációs fájlok, amelyek különböző forgatókönyvekhez tartozó specifikus beállításokat tárolnak. Ezek a profilok egyetlen paranccsal alkalmazhatók, ami megkönnyíti a váltást a különböző biztonsági konfigurációk között.

A CSF több alapértelmezett profillal érkezik, amelyek mindegyike egy adott célra készült, mint például webszerver vagy levelezőszerver.

CSF profilok használata

  1. Először navigáljon a CSF profil könyvtárba:
1cd /usr/local/csf/profiles
  1. Listázza az elérhető profilokat:
1ls

Látnia kell az alapértelmezett profilok listáját, mint a webserver.conf, mailserver.conf és default.conf.

  1. Profil alkalmazásához használja a következő parancsot:
1csf --profile <profile_name>
  1. Például a webserver.conf profil alkalmazásához:
1csf --profile webserver
  1. Ha egyéni profilt szeretne létrehozni, másolja a meglévő konfigurációs fájlt a profilok könyvtárába:
1cp /etc/csf/csf.conf /usr/local/csf/profiles/my_custom_profile.conf

Ezután szerkessze a my_custom_profile.conf fájlt kedvenc szövegszerkesztőjével, és állítsa be a beállításokat igényeinek megfelelően. Miután elvégezte a módosításokat, az egyéni profilt a korábban említett paranccsal alkalmazhatja.

Megfontolások a CSF profilok használatakor

  1. Készítsen biztonsági másolatot a jelenlegi konfigurációról, mielőtt új profilt alkalmazna. Ez biztosítja, hogy szükség esetén könnyen visszaállíthasson a korábbi beállításokra.
  2. Tesztelje az új profilt nem éles környezetben, mielőtt éles szerveren alkalmazná. Ez segít azonosítani a felmerülő problémákat vagy konfliktusokat.
  3. Egyéni profilok létrehozásakor győződjön meg arról, hogy követi a Linux szerverek védelmének bevált gyakorlatait, és figyelembe veszi az adott felhasználási esetet és környezetet.
  4. Rendszeresen vizsgálja felül és frissítse profiljait, hogy naprakész maradjon a legújabb biztonsági ajánlásokkal és bevált gyakorlatokkal.
  5. Ne feledje, hogy egy új profil alkalmazása felülírja a jelenlegi beállításokat. Az alkalmazás előtt ellenőrizze a profil tartalmát, különösen ha egyéni profilt használ vagy módosításokat végzett az alapértelmezett profilokon.

A CSF profilok megértésével és használatával hatékonyan kezelheti és válthat a különböző biztonsági konfigurációk között Linux szerverén. Ez nemcsak időt takarít meg, hanem biztosítja, hogy szervere különböző körülmények között is védve maradjon.

A CSF felhasználói felület beállítása

A CSF webalapú felhasználói felületet (UI) biztosít a tűzfal kezeléséhez és konfigurálásához. Ez a grafikus felület különösen hasznos azoknak, akik nem szívesen dolgoznak parancssori eszközökkel, vagy vizuális kezelést preferálnak.

Ebben a részben végigvezetjük a CSF UI beállításán és megbeszélünk néhány szempontot a használatával kapcsolatban.

A CSF UI beállítása

A CSF UI alapértelmezetten elérhető népszerű vezérlőpanelek számára, mint a cPanel, DirectAdmin és Webmin. Ha ezek valamelyikét használja, a CSF UI-nak már integrálva kell lennie a paneljébe.

Más vezérlőpanelek vagy vezérlőpanel nélküli szerver esetén a CSF UI-t a következő lépésekkel állíthatja be:

  1. Győződjön meg arról, hogy a szükséges függőségek telepítve vannak a szerverén:
  • Perl
  • Az LWP (libwww-perl) modul
  • A GD (libgd) modul
  • A GD::Graph modul

Ezeket a függőségeket a csomagkezelőjével telepítheti. Például Ubuntu-n:

1sudo apt-get install perl libwww-perl libgd-dev libgd-perl libgd-graph-perl
  1. Nyissa meg a CSF konfigurációs fájlt a /etc/csf/csf.conf helyen kedvenc szövegszerkesztőjével (pl. nano vagy vim).
  2. Keresse meg a következő beállításokat és módosítsa őket az alábbiak szerint:
1UI = "1"
2UI_PORT = "<your_desired_port>"
3UI_USER = "<your_username>"
4UI_PASS = "<your_password>"

Cserélje ki a <your_desired_port> értéket egy nem használt portszámra (pl. 8080), a <your_username> értéket egy választott felhasználónévre, és a <your_password> értéket egy erős, egyedi jelszóra.

  1. Mentse el és zárja be a konfigurációs fájlt.
  2. Indítsa újra a CSF-et a változtatások alkalmazásához:
1csf -r

Érje el a CSF UI-t a http://szerver_ip:<kívánt_port> megnyitásával böngészőjében, és jelentkezzen be a konfigurációs fájlban megadott felhasználónévvel és jelszóval.

HTTPS beállítása a CSF UI-hoz

Elengedhetetlen a CSF UI HTTPS-sel való védelme a bejelentkezési adatok és az adatátvitel biztosítása érdekében. A HTTPS használata kifejezetten ajánlott, különösen, ha az UI-t az interneten keresztül éri el.

Ebben a részben megmutatom, hogyan állíthatja be a HTTPS-t a CSF UI-hoz Let’s Encrypt, ACME vagy Certbot használatával, és hova kell helyezni a generált tanúsítványokat, hogy a CSF olvashassa őket.

HTTPS Certbot-tal

  1. Győződjön meg arról, hogy a Certbot telepítve van a szerverén. Az adott disztribúcióhoz tartozó utasításokat a Certbot weboldalon találja.
  2. Generáljon tanúsítványt a domainjéhez a Certbot segítségével:
1sudo certbot certonly --standalone -d example.com

Cserélje ki az example.com-ot a domainjére. Győződjön meg arról, hogy a domain a szervere IP-címére mutat.

  1. A tanúsítvány generálása után a tanúsítványfájlokat a /etc/letsencrypt/live/example.com/ könyvtárban találja. A szükséges fájlok: fullchain.pem (a tanúsítvány) és privkey.pem (a privát kulcs).
  2. Másolja a tanúsítványfájlokat egy helyre, ahonnan a CSF olvashatja őket:
1sudo cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/csf/ui/ssl/cert.pem
2sudo cp /etc/letsencrypt/live/example.com/privkey.pem /etc/csf/ui/ssl/key.pem
  1. Nyissa meg a CSF konfigurációs fájlt a /etc/csf/csf.conf helyen kedvenc szövegszerkesztőjével (pl. nano vagy vim).
  2. Módosítsa a következő beállításokat:
1UI_SSL = "1"
2UI_CERT = "/etc/csf/ui/ssl/cert.pem"
3UI_KEY = "/etc/csf/ui/ssl/key.pem"
  1. Mentse el és zárja be a konfigurációs fájlt.
  2. Indítsa újra a CSF-et a változtatások alkalmazásához:
1csf -r

Most már biztonságosan elérheti a CSF UI-t HTTPS-en keresztül a https://example.com:<kívánt_port> megnyitásával böngészőjében.

Ne felejtse el megújítani a Let’s Encrypt tanúsítványt 90 naponta, mivel rövid érvényességi idővel rendelkezik. Ezt a folyamatot cron job-bal automatizálhatja.

Ne feledje, hogy a HTTPS szükséges és erősen ajánlott a CSF UI biztonságossá tételéhez. Ezeket a lépéseket követve biztosíthatja, hogy bejelentkezési adatai és adatátvitele védve maradjanak a potenciális fenyegetésektől.

Megfontolások a CSF UI használatakor

  1. Válasszon erős, egyedi jelszót a CSF UI-hoz az illetéktelen hozzáférés megelőzése érdekében. Rendszeresen frissítse a jelszót és kerülje ugyanannak a jelszónak a használatát más szolgáltatásokhoz.
  2. Korlátozza a CSF UI-hoz való hozzáférést, csak meghatározott IP-címek számára engedélyezve a csatlakozást. Ezt a UI_ALLOW beállítás módosításával teheti meg a CSF konfigurációs fájlban:
1UI_ALLOW = "192.168.1.1,192.168.1.2"

Cserélje ki a példa IP-címeket azokra, amelyeknek engedélyezni szeretné a hozzáférést a CSF UI-hoz.

  1. Győződjön meg arról, hogy a CSF UI-hoz választott port nincs más szolgáltatások által használva. Ezenkívül ajánlott nem szabványos portot választani az automatizált támadások esélyeinek csökkentése érdekében.
  2. Rendszeresen frissítse a CSF UI-t és függőségeit az ismert sebezhetőségek és biztonsági problémák elleni védelem érdekében.
  3. Figyelje a hozzáférési naplókat a gyanús tevékenységek vagy jogosulatlan bejelentkezési kísérletek azonosítása érdekében. A CSF naplók a /var/log/lfd.log fájlban találhatók.

A CSF UI beállításával és használatával hatékonyan kezelheti és konfigurálhatja tűzfal beállításait egy könnyen használható grafikus felületen keresztül.

Győződjön meg arról, hogy követi a bevált gyakorlatokat és figyelembe veszi a fent említett pontokat a biztonságos és megbízható környezet fenntartása érdekében.

CSF védelem DDoS támadások ellen

A CSF segíthet megvédeni szerverét az elosztott szolgáltatásmegtagadási (DDoS) támadások ellen különböző konfigurációk és biztonsági intézkedések alkalmazásával.

Ebben a részben bemutatjuk, hogyan védekezhet a CSF a DDoS támadások ellen, és néhány példa konfigurációt és ajánlást adunk.

SYN Flood védelem

A SYN flood támadások a DDoS támadások egy típusa, amelynek során a támadó nagyszámú SYN csomagot küld a szervernek, ami az erőforrásainak kimerüléséhez vezet a kapcsolatok létrehozásának kísérlete közben.

A SYN flood védelem engedélyezéséhez a CSF-ben módosítsa a következő beállításokat a /etc/csf/csf.conf fájlban:

1SYNFLOOD = "1"
2SYNFLOOD_RATE = "100/s"
3SYNFLOOD_BURST = "150"

Ezek a beállítások engedélyezik a SYN flood védelmet és konfigurálják a bejövő kapcsolatok ráta- és burst-korlátjait.

Kapcsolatszám-korlátozás védelem

A szerverhez való egyidejű kapcsolatok számának korlátozásával enyhítheti az adott szolgáltatásokat célzó DDoS támadásokat.

A kapcsolatszám-korlátozás védelem engedélyezéséhez konfigurálja a CONNLIMIT beállítást:

1CONNLIMIT = "22;5,80;50,443;50"

Ez a példa 5-re korlátozza a kapcsolatok számát SSH (22), 50-re HTTP (80) és 50-re HTTPS (443) esetén.

Port Flood védelem

A port flood védelem segít a szervere meghatározott portjait célzó DDoS támadások ellen védekezni.

A port flood védelem engedélyezéséhez konfigurálja a PORTFLOOD beállítást:

1PORTFLOOD = "22;tcp;5;300,80;tcp;30;5,443;tcp;30;5"

Ez a példa korlátozza az új kapcsolatok rátáját SSH (22) esetén 5-re 300 másodpercenként, HTTP (80) és HTTPS (443) esetén pedig 30-ra 5 másodpercenként.

Tiltólisták

A CSF különböző IP tiltólistákkal integrálható, hogy megakadályozza az ismert rosszindulatú IP-címeket a szervere eléréséből.

A tiltólista integráció engedélyezéséhez konfigurálja a BLOCKLIST_* beállításokat a CSF konfigurációs fájlban:

1BLOCKLIST_DE = "1"
2BLOCKLIST_6DE = "1"
3BLOCKLIST_DE_URL = "https://lists.blocklist.de/lists/all.txt"
4BLOCKLIST_6DE_URL = "https://lists.blocklist.de/lists/ipv6/all.txt"

Ez a példa engedélyezi a blocklist.de tiltólistákkal való integrációt IPv4 és IPv6 címek számára egyaránt.

Országszintű blokkolás

A CSF lehetővé teszi az adott országokból való hozzáférés blokkolását a CC_DENY és CC_ALLOW_FILTER beállítások használatával. Bár ez a módszer nem minden helyzetben alkalmas, hasznos lehet, ha olyan országokból szeretné korlátozni a hozzáférést, amelyek DDoS támadások indításáról ismertek.

1CC_DENY = "CN,IR,RU"
2CC_ALLOW_FILTER = "US,CA,GB"

Ez a példa blokkolja a hozzáférést Kínából (CN), Iránból (IR) és Oroszországból (RU), és csak az Egyesült Államokból (US), Kanadából (CA) és az Egyesült Királyságból (GB) érkező bejövő kapcsolatokat engedélyezi.

Ne felejtse el újraindítani a CSF-et a konfigurációs fájl módosítása után:

1csf -r

Ezeknek a konfigurációknak és ajánlásoknak az alkalmazásával jelentősen javíthatja szervere DDoS támadások elleni védelmét.

Ne feledje, hogy egyetlen biztonsági intézkedés sem tökéletesen biztos, ezért elengedhetetlen a szervere rendszeres figyelése a potenciális fenyegetések szempontjából és a CSF beállítások ennek megfelelő adaptálása.

Alternatív biztonsági megoldások

Bár a CSF kiváló választás a Linux szerver biztonsághoz, érdemes megfontolni alternatív megoldásokat is, amelyek hasonló funkciókat kínálnak:

  • UFW (Uncomplicated Firewall) : Felhasználóbarát tűzfal Ubuntu-alapú rendszerekhez.
  • Firewalld : Tűzfal-kezelő eszköz systemd-t használó Linux disztribúciókhoz.
  • IPTables : Erőteljes parancssori eszköz csomagszűréshez és hálózati címfordításhoz Linuxon.

Következtetés

Linux szervere védelme elengedhetetlen az adatok védelméhez és a szerver integritásának megőrzéséhez. A CSF erőteljes és felhasználóbarát megoldást kínál ennek a célnak az eléréséhez.

Az ebben a cikkben ismertetett lépések követésével könnyen telepítheti és konfigurálhatja a CSF-et Linux szerverén. Ne felejtse el felfedezni az alternatív biztonsági megoldásokat, mint az UFW, Firewalld és IPTables, ha további lehetőségeket keres.

Remélem, hasznosnak és informatívnak találta ezt a cikket Linux szervere CSF-fel történő védelméhez. Ha tetszett ez a cikk és értékesnek találta, kérjük, ossza meg másokkal is, akik hasznát vehetik. Arra is bátorítom, hogy hagyjon megjegyzést gondolataival vagy kérdéseivel, és szívesen segítek. 😊

Maradjon éber és tartsa szervereit biztonságban 2023-ban és azon túl!