Xem mẫu
- Hướng dẫn cài đặt CSF Firewall để bảo vệ VPS
Khi sử dụng một VPS được Public ra ngoài internet, bạn sẽ phải đối mặt với
rất nhiều các nguy cơ về bảo mật. Tất cả các hệ điều hành được cài đặt lên
VPS đều đã có các Firewall mặc định giúp cho bạn có thể bảo vệ cơ bản cho
VPS của mình. Ví dụ như CentOS 6 có iptables, CentOS 7 có Firewalld.
Nhưng như vậy thì chưa đủ để máy chủ ảo của bạn được an toàn trước các
cuộc tấn công của Hacker ngày càng diễn biến phức tạp. Vì vậy, để có thể
chống trọi các cuộc tấn công và bảo vệ VPS của bạn được tốt hơn, trong bài
viết này tôi sẽ hướng dẫn các bạn cài đặt và cấu hình CSF (ConfigServer
Security & Firewall) một firewall rất phổ biến và hiệu quả được sử dụng trên
các server Linux hiện nay. Bên cạnh những tính năng cơ bản như một
firewall, CSF còn có những chức năng bảo mật nâng cao khác như ngăn
chặn flood login, port scans, SYN floods...
Các bước cài đặt:
Kết nối SSH vào VPS Linux mà bạn muốn cài đặt CSF. Ở đây, tôi sử dụng
một VPS CentOS 6.9 64bit.
Cài đặt module Perl cho CSF script:
# yum install perl-libwww-perl wget -y
Tải File Source CSF:
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
- #wget https://download.configserver.com/csf.tgz
Giải nén và cài đăt CSF:
#tar -xzf csf.tgz && cd csf && sh install.sh
Sau khi cài đặt xong, bạn cần kiểm tra lại các thành phần của CSF đã được
thành công hay chưa bằng lệnh:
# perl /etc/csf/csftest.pl
Như vậy ta đã cài đặt đầy đủ các thành phần của CSF.
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
- Các File cấu hình chính của CSF nằm ở: /etc/csf/
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
- ở đây, có 3 file mà bạn cần lưu ý: csf.conf, csf.allow, csf.deny… Đây là 3 file
bạn sẽ thao tác với CSF nhiều nhất. Tác dụng của 3 File cụ thể như sau:
csf.conf: File cấu hình chính của csf, file này sẽ ghi các thông số để csf hoạt
động, mở các port, giao thức cho phép chạy trên VPS…..
csf.allow: Chứa danh sách các IP được coi là tin cậy, gói tin có ip nguồn nằm
trong danh sách này khi đi qua CSF sẽ không bị kiểm duyệt. Nói cách khác
file này chính là file white list của CSF.
csf.deny: Chứa danh sách các IP chặn không cho kết nối đến VPS.
Trước tiên, bạn hãy sửa file csf.conf: nano /etc/csf/csf.conf
Một số thông số bạn cần lưu ý trong file này như sau:
Số 1: Các Port TCP cho phép từ bên ngoài kết nối đến VPS.
Số 2: Các Port TCP cho phép kết nối từ trong VPS ra ngoài.
Số 3: Các Port UDP cho phép từ bên ngoài kết nối đến VPS.
Số 4: Các Port UDP cho phép kết nối từ trong VPS ra ngoài.
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
- Số 5: Cho phép gửi gói tin ICMP đến server (1=enable 0=disable)
Số 6: Giới hạn số lượng gói tin ICMP gửi đến server trên 1 giây
Số 7: Cho phép server gửi gói tin ICMP ra ngoài (1=enable 0=disable)
Số 8: Giới hạn số lượng gói tin ICMP mà server được gửi đi (0=disable limit)
Hãy chỉnh lại các thông số trên sao cho phù hợp với VPS của bạn.
Sau khi đã chỉnh xong các thông số, bạn hãy kéo lên đầu File cấu hình và sửa
Biến TESTING thành giá trị 0 để CSF sẽ chính thức hoạt động.
Lưu và thoát khỏi File cấu hình.
Chạy lệnh #csf –r để khởi động CSF.
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
- Một số câu lệnh thường sử dụng với CSF:
#csf -d IPADDRESS //Block địa chỉ IP
#csf -dr IPADDRESS //Xóa địa chỉ IP đã bị block
#csf -a IPADDRESS //Allow địa chỉ IP
#csf -ar IPADDRESS //Xóa địa chỉ IP đã được allow
#csf -g IPADDRESS //Kiểm tra địa chỉ IP có bị block không
#csf -r //Khởi động lại CSF
#csf -x //Tắt CSF
#csf -e //Mở CSF
Tài liệu hướng dẫn bởi nhóm admin https://hostingviet.vn
nguon tai.lieu . vn