Serverele Linux au câștigat o popularitate imensă în rândul companiilor și persoanelor fizice datorită flexibilității, eficienței costurilor și performanței puternice. Cu toate acestea, asigurarea securității acestor servere este de o importanță capitală.

În acest articol, vom explora cum să vă protejați serverele Linux folosind CSF (ConfigServer Security & Firewall) sau software similar, și vom furniza link-uri și exemple pentru întărirea serverului dumneavoastră.

Ce este CSF?

CSF este un firewall stateful puternic conceput special pentru serverele Linux. Oferă o interfață ușor de utilizat și funcții de securitate cuprinzătoare, făcându-l o alegere populară printre administratorii de sistem.

CSF nu este doar un firewall, ci și un sistem de detectare a intruziunilor care monitorizează și blochează activ activitățile malițioase.

Puteți afla mai multe despre CSF și funcționalitățile sale pe site-ul oficial: ConfigServer Security & Firewall .

De ce să alegeți CSF?

Există mai multe motive pentru a alege CSF în locul altor soluții firewall pentru serverul dumneavoastră Linux:

  • Instalare și configurare simplă
  • Actualizări regulate și suport activ din comunitate
  • Compatibilitate cu majoritatea distribuțiilor Linux și panourilor de control
  • Funcții de securitate cuprinzătoare, inclusiv detectarea intruziunilor și urmărirea eșecurilor de autentificare
  • Opțiuni de configurare personalizabile

Cum să instalați și să configurați CSF

Înainte de a instala CSF, este important să eliminați sau să dezactivați orice alt firewall de pe serverul dumneavoastră. Urmați acești pași pentru a instala și configura CSF:

  1. Autentificați-vă pe server ca utilizator root prin SSH.
  2. Descărcați cea mai recentă versiune de CSF cu următoarea comandă:
1wget https://download.configserver.com/csf.tgz
  1. Extrageți arhiva descărcată:
1tar -xzf csf.tgz
  1. Navigați în directorul extras și rulați scriptul de instalare:
1cd csf
2sh install.sh
  1. Deschideți fișierul de configurare situat la /etc/csf/csf.conf cu editorul de text preferat (de ex. nano sau vim). Personalizați setările conform cerințelor dumneavoastră de securitate.
  2. După configurarea CSF, testați compatibilitatea serverului rulând:
1perl /usr/local/csf/bin/csftest.pl
  1. Dacă testul este reușit, activați CSF schimbând setarea TESTING la 0 în fișierul de configurare.
  2. Reporniți CSF pentru a aplica modificările:
1csf -r

Pentru instrucțiuni mai detaliate și opțiuni de configurare, consultați documentația oficială CSF .

Configurare optimă CSF pentru securitate îmbunătățită

Iată câteva setări recomandate pentru o configurare optimă CSF pentru a îmbunătăți securitatea serverului dumneavoastră Linux.

Rețineți că aceste setări pot să nu fie potrivite pentru toate mediile de server, așa că este important să le personalizați conform nevoilor dumneavoastră specifice. Testați întotdeauna modificările înainte de a le aplica pe un server de producție.

  1. Restricționarea conexiunilor de intrare și ieșire

Limitați conexiunile de intrare și ieșire doar la porturile necesare în secțiunile TCP_IN, TCP_OUT, UDP_IN și UDP_OUT. De exemplu:

1TCP_IN = "22,80,443"
2TCP_OUT = "22,80,443,53"
3UDP_IN = "53"
4UDP_OUT = "53"
  1. Activarea detectării eșecurilor de autentificare

Asigurați-vă că CSF urmărește eșecurile de autentificare activând opțiunile LF_* din fișierul de configurare:

1LF_TRIGGER = "5"
2LF_SSHD = "5"
3LF_FTPD = "10"
4LF_SMTPAUTH = "5"
5LF_POP3D = "10"
6LF_IMAPD = "10"

Acest exemplu configurează o blocare temporară după 5 încercări eșuate de autentificare în perioada specificată pentru SSH, FTP, SMTP, POP3 și IMAP.

  1. Activarea urmăririi proceselor

Monitorizați procesele serverului pentru activități suspecte activând urmărirea proceselor:

1PT_LIMIT = "60"
2PT_USERMEM = "200"
3PT_USERTIME = "1800"
4PT_USERKILL = "1"

Acest exemplu setează un interval de 60 de secunde pentru urmărirea proceselor, o limită de utilizare a memoriei de 200 MB, un timp maxim al procesului de 1800 secunde și posibilitatea de a termina procesele care depășesc limitele.

  1. Nu uitați să reporniți CSF după modificarea fișierului de configurare:
1csf -r

Utilizarea profilurilor în CSF pentru securitate îmbunătățită

Profilurile CSF sunt setări de configurare predefinite adaptate pentru cazuri de utilizare specifice sau niveluri de securitate. Acestea vă permit să comutați rapid între diferite configurații fără a modifica manual setările individuale.

Acest lucru poate fi deosebit de util atunci când trebuie să aplicați măsuri de securitate mai stricte sau să relaxați temporar restricțiile. În această secțiune, vom explica ce sunt profilurile, cum să le utilizați și câteva considerații pentru aplicarea lor.

Ce sunt profilurile CSF?

Profilurile CSF sunt, în esență, fișiere de configurare care conțin setări specifice pentru diferite scenarii. Aceste profiluri pot fi aplicate cu o singură comandă, facilitând comutarea între diferite configurații de securitate.

CSF vine cu mai multe profiluri implicite, fiecare conceput pentru un scop specific, cum ar fi server web sau server de e-mail.

Cum să utilizați profilurile CSF

  1. Mai întâi, navigați în directorul profilurilor CSF:
1cd /usr/local/csf/profiles
  1. Listați profilurile disponibile:
1ls

Ar trebui să vedeți o listă de profiluri implicite precum webserver.conf, mailserver.conf și default.conf.

  1. Pentru a aplica un profil, utilizați următoarea comandă:
1csf --profile <profile_name>
  1. De exemplu, pentru a aplica profilul webserver.conf:
1csf --profile webserver
  1. Dacă doriți să creați un profil personalizat, copiați fișierul de configurare existent în directorul profilurilor:
1cp /etc/csf/csf.conf /usr/local/csf/profiles/my_custom_profile.conf

Apoi editați fișierul my_custom_profile.conf cu editorul de text preferat și ajustați setările conform nevoilor dumneavoastră. Odată ce ați făcut modificările, puteți aplica profilul personalizat folosind comanda menționată anterior.

Considerații pentru utilizarea profilurilor CSF

  1. Faceți o copie de siguranță a configurării curente înainte de a aplica un profil nou. Acest lucru asigură că puteți reveni ușor la setările anterioare dacă este necesar.
  2. Testați noul profil într-un mediu non-producție înainte de a-l aplica pe un server activ. Acest lucru ajută la identificarea problemelor sau conflictelor potențiale.
  3. Când creați profiluri personalizate, asigurați-vă că urmați cele mai bune practici pentru protecția serverelor Linux și luați în considerare cazul de utilizare și mediul dumneavoastră specific.
  4. Revizuiți și actualizați periodic profilurile pentru a fi la curent cu cele mai recente recomandări și practici de securitate.
  5. Rețineți că aplicarea unui profil nou va suprascrie setările curente. Revizuiți conținutul profilului înainte de aplicare, mai ales dacă folosiți profiluri personalizate sau ați făcut modificări la profilurile implicite.

Înțelegând și utilizând profilurile CSF, puteți gestiona și comuta eficient între diferite configurații de securitate pe serverul dumneavoastră Linux. Acest lucru nu doar economisește timp, ci asigură și că serverul dumneavoastră rămâne protejat în diferite circumstanțe.

Configurarea interfeței utilizator CSF

CSF oferă o interfață utilizator (UI) bazată pe web pentru gestionarea și configurarea firewall-ului. Această interfață grafică este deosebit de utilă pentru cei care nu sunt confortabili cu instrumentele din linia de comandă sau preferă o gestionare vizuală.

În această secțiune, vă vom ghida prin configurarea UI CSF și vom discuta câteva considerații pentru utilizarea sa.

Configurarea UI CSF

UI CSF este disponibil implicit pentru panouri de control populare precum cPanel, DirectAdmin și Webmin. Dacă utilizați unul dintre acestea, UI CSF ar trebui să fie deja integrat în panoul dumneavoastră.

Pentru alte panouri de control sau servere fără panou, puteți configura UI CSF cu următorii pași:

  1. Asigurați-vă că dependențele necesare sunt instalate pe server:
  • Perl
  • Modulul LWP (libwww-perl)
  • Modulul GD (libgd)
  • Modulul GD::Graph

Puteți instala aceste dependențe folosind managerul de pachete. De exemplu, pe Ubuntu:

1sudo apt-get install perl libwww-perl libgd-dev libgd-perl libgd-graph-perl
  1. Deschideți fișierul de configurare CSF la /etc/csf/csf.conf cu editorul de text preferat (de ex. nano sau vim).
  2. Găsiți următoarele setări și modificați-le astfel:
1UI = "1"
2UI_PORT = "<your_desired_port>"
3UI_USER = "<your_username>"
4UI_PASS = "<your_password>"

Înlocuiți <your_desired_port> cu un număr de port neutilizat (de ex. 8080), <your_username> cu un nume de utilizator ales și <your_password> cu o parolă puternică și unică.

  1. Salvați și închideți fișierul de configurare.
  2. Reporniți CSF pentru a aplica modificările:
1csf -r

Accesați UI CSF deschizând http://ip_server:<port_dorit> în browser și autentificați-vă cu numele de utilizator și parola specificate în fișierul de configurare.

Configurarea HTTPS pentru UI CSF

Este esențial să securizați UI CSF cu HTTPS pentru a asigura protecția credențialelor de autentificare și a transmisiei datelor. Utilizarea HTTPS este puternic recomandată, mai ales atunci când accesați UI prin internet.

În această secțiune, voi arăta cum să configurați HTTPS pentru UI CSF folosind Let’s Encrypt, ACME sau Certbot, și unde să plasați certificatele generate pentru ca CSF să le poată citi.

HTTPS cu Certbot

  1. Asigurați-vă că Certbot este instalat pe server. Puteți găsi instrucțiuni specifice distribuției dumneavoastră pe site-ul web Certbot .
  2. Generați un certificat pentru domeniul dumneavoastră folosind Certbot:
1sudo certbot certonly --standalone -d example.com

Înlocuiți example.com cu domeniul dumneavoastră. Asigurați-vă că domeniul indică adresa IP a serverului.

  1. După generarea certificatului, veți găsi fișierele certificatului în directorul /etc/letsencrypt/live/example.com/. Fișierele necesare sunt: fullchain.pem (certificatul) și privkey.pem (cheia privată).
  2. Copiați fișierele certificatului într-o locație de unde CSF le poate citi:
1sudo cp /etc/letsencrypt/live/example.com/fullchain.pem /etc/csf/ui/ssl/cert.pem
2sudo cp /etc/letsencrypt/live/example.com/privkey.pem /etc/csf/ui/ssl/key.pem
  1. Deschideți fișierul de configurare CSF la /etc/csf/csf.conf cu editorul de text preferat (de ex. nano sau vim).
  2. Modificați următoarele setări:
1UI_SSL = "1"
2UI_CERT = "/etc/csf/ui/ssl/cert.pem"
3UI_KEY = "/etc/csf/ui/ssl/key.pem"
  1. Salvați și închideți fișierul de configurare.
  2. Reporniți CSF pentru a aplica modificările:
1csf -r

Acum puteți accesa în siguranță UI CSF prin HTTPS deschizând https://example.com:<port_dorit> în browser.

Nu uitați să reînnoiți certificatul Let’s Encrypt la fiecare 90 de zile deoarece are o perioadă scurtă de valabilitate. Puteți automatiza acest proces cu un cron job.

Rețineți că HTTPS este necesar și puternic recomandat pentru securizarea UI CSF. Urmând acești pași, puteți asigura că credențialele de autentificare și transmisia datelor sunt protejate împotriva amenințărilor potențiale.

Considerații pentru utilizarea UI CSF

  1. Alegeți o parolă puternică și unică pentru UI CSF pentru a preveni accesul neautorizat. Actualizați periodic parola și evitați utilizarea aceleiași parole pentru alte servicii.
  2. Restricționați accesul la UI CSF permițând doar anumitor adrese IP să se conecteze. Puteți face acest lucru modificând setarea UI_ALLOW din fișierul de configurare CSF:
1UI_ALLOW = "192.168.1.1,192.168.1.2"

Înlocuiți adresele IP de exemplu cu cele cărora doriți să le permiteți accesul la UI CSF.

  1. Asigurați-vă că portul ales pentru UI CSF nu este utilizat de alte servicii. De asemenea, este recomandat să utilizați un port non-standard pentru a reduce șansele de atacuri automatizate.
  2. Actualizați regulat UI CSF și dependențele sale pentru a vă proteja împotriva vulnerabilităților și problemelor de securitate cunoscute.
  3. Monitorizați jurnalele de acces pentru a identifica activități suspecte sau încercări de autentificare neautorizate. Jurnalele CSF se găsesc la /var/log/lfd.log.

Configurând și utilizând UI CSF, puteți gestiona și configura eficient setările firewall-ului printr-o interfață grafică ușor de utilizat.

Asigurați-vă că urmați cele mai bune practici și luați în considerare punctele menționate mai sus pentru a menține un mediu sigur și fiabil.

Protecția CSF împotriva atacurilor DDoS

CSF poate ajuta la protejarea serverului dumneavoastră împotriva atacurilor DDoS (Distributed Denial of Service) prin aplicarea diverselor configurații și măsuri de securitate.

În această secțiune, vom arăta cum CSF poate proteja împotriva atacurilor DDoS și vom furniza câteva exemple de configurare și recomandări.

Protecție SYN Flood

Atacurile SYN flood sunt un tip de atac DDoS în care atacatorul trimite un număr mare de pachete SYN către server, provocând epuizarea resurselor în timp ce încearcă să stabilească conexiuni.

Pentru a activa protecția SYN flood în CSF, modificați următoarele setări în /etc/csf/csf.conf:

1SYNFLOOD = "1"
2SYNFLOOD_RATE = "100/s"
3SYNFLOOD_BURST = "150"

Aceste setări activează protecția SYN flood și configurează limitele de rată și burst pentru conexiunile de intrare.

Protecție limită conexiuni

Prin limitarea numărului de conexiuni simultane la server, puteți atenua atacurile DDoS care vizează servicii specifice.

Pentru a activa protecția limită conexiuni, configurați setarea CONNLIMIT:

1CONNLIMIT = "22;5,80;50,443;50"

Acest exemplu limitează conexiunile la 5 pentru SSH (22), 50 pentru HTTP (80) și 50 pentru HTTPS (443).

Protecție Port Flood

Protecția port flood ajută la protejarea serverului împotriva atacurilor DDoS care vizează porturi specifice.

Pentru a activa protecția port flood, configurați setarea PORTFLOOD:

1PORTFLOOD = "22;tcp;5;300,80;tcp;30;5,443;tcp;30;5"

Acest exemplu limitează rata noilor conexiuni pentru SSH (22) la 5 la fiecare 300 secunde, și pentru HTTP (80) și HTTPS (443) la 30 la fiecare 5 secunde.

Liste de blocare

CSF se poate integra cu diverse liste de blocare IP pentru a împiedica adresele IP cunoscute ca malițioase să acceseze serverul dumneavoastră.

Pentru a activa integrarea cu listele de blocare, configurați setările BLOCKLIST_* din fișierul de configurare CSF:

1BLOCKLIST_DE = "1"
2BLOCKLIST_6DE = "1"
3BLOCKLIST_DE_URL = "https://lists.blocklist.de/lists/all.txt"
4BLOCKLIST_6DE_URL = "https://lists.blocklist.de/lists/ipv6/all.txt"

Acest exemplu activează integrarea cu listele de blocare blocklist.de atât pentru adrese IPv4, cât și IPv6.

Blocare la nivel de țară

CSF vă permite să blocați accesul din anumite țări folosind setările CC_DENY și CC_ALLOW_FILTER. Deși această metodă nu este potrivită pentru toate situațiile, poate fi utilă când doriți să restricționați accesul din țări cunoscute pentru lansarea atacurilor DDoS.

1CC_DENY = "CN,IR,RU"
2CC_ALLOW_FILTER = "US,CA,GB"

Acest exemplu blochează accesul din China (CN), Iran (IR) și Rusia (RU), și permite doar conexiunile de intrare din Statele Unite (US), Canada (CA) și Regatul Unit (GB).

Nu uitați să reporniți CSF după modificarea fișierului de configurare:

1csf -r

Aplicând aceste configurații și recomandări, puteți îmbunătăți semnificativ protecția serverului împotriva atacurilor DDoS.

Rețineți că nicio măsură de securitate nu este infailibilă, așa că este esențial să monitorizați regulat serverul pentru amenințări potențiale și să adaptați setările CSF în consecință.

Soluții alternative de securitate

Deși CSF este o alegere excelentă pentru securitatea serverelor Linux, merită să luați în considerare și soluții alternative care oferă funcționalități similare:

  • UFW (Uncomplicated Firewall) : Un firewall ușor de utilizat pentru sisteme bazate pe Ubuntu.
  • Firewalld : Un instrument de gestionare a firewall-ului pentru distribuții Linux care folosesc systemd.
  • IPTables : Un instrument puternic din linia de comandă pentru filtrarea pachetelor și traducerea adreselor de rețea pe Linux.

Concluzie

Securizarea serverului Linux este esențială pentru protejarea datelor și menținerea integrității serverului. CSF oferă o soluție puternică și ușor de utilizat pentru atingerea acestui obiectiv.

Urmând pașii descriși în acest articol, puteți instala și configura cu ușurință CSF pe serverul dumneavoastră Linux. Nu uitați să explorați soluții alternative de securitate precum UFW, Firewalld și IPTables dacă căutați opțiuni suplimentare.

Sper că ați găsit acest articol util și informativ pentru securizarea serverului Linux cu CSF. Dacă v-a plăcut acest articol și l-ați considerat valoros, vă rog să îl împărtășiți cu alții care ar putea beneficia de el. Vă încurajez de asemenea să lăsați un comentariu cu gândurile sau întrebările dumneavoastră, și voi fi bucuros să vă ajut. 😊

Rămâneți vigilenți și mențineți serverele în siguranță în 2023 și după!