هنگامیکه در مورد امنیت سرورها صحبت می کنیم، اولین چیزی که در ذهن خواهد آمد Firewall است، به دلیل اینکه فایروال ها برای افزایش امنیت سرورها بسیار مفید هستند. یک فایروال پیکربندی شده می توانداز سرور شما در برابر Malware، Brute force، DOS و DDOS، backdoors، rootkits و local exploits محافظت کند.
یکی از محبوب ترین و قوی ترین فایروال ها روی اینترنت به نام CSF است. که می تواند با کنترل پنل webmin مجتمع گردد. اما در این مقاله ما تنها در مورد نحوه ی راه اندازی و پیکربندی فایروال CSF در Red Hat 6.3/6.2/6.1/6/5.8، CentOS 6.3/6.2/6.1/6/5.8 و Fedora 17,16,15,14,13,12 بحث خواهیم کرد.
CSF چیست؟
CSF (مخفف ConfigServer Security & Firewall) یک برنامه ی متن باز stateful و فایروالی بسیار پیشرفته و امن برای سرورهای لینوکس با گزینه ها و امکانات پیکربندی بسیار در مقایسه با فایروال های دیگر است. برای شناخت درباره ویژگی های آن به لینک زیر مراجعه کنید.
گام اول : نصب ماژول های مورد نیاز CSF
ماژول های perl مورد نیاز را برای اسکریپت CSF نصب کنید، در غیراینصورت شما خطایی شبیه به libwww not being installed خواهید دید.
گام دوم : دانلود کردن CSF
هنگامی که نرم افزار جدیدی را دانلود می کنید و آنرا نصب می کنید، استفاده از دایرکتوری /tmp ایده ی خوبی است. از دستور wget برای دانلود استفاده کنید.
گام سوم : حذف فایروال موجود
اگر شما از فایروال های دیگرiptables همچون APf یا BFD استفاده می کنید انرا حذف کنید. به دلیل اینکه شما نمی توانید از دو اسکریپت فایروال برروی یک سرور استفاده کنید. بنابراین برای جلوگیری از تداخل شما باید هر فایروال دیگری را حذف کنید.
گام چهارم : نصب CSF
هنگامیکه دانلود کامل شد، تمام فایل ها را با استفاده از دستور tar استخراج کنید و به دایرکتوری csf ایجاد شده تغییر دهید. سپس اسکریپت نصب را برای نصب آن اجرا کنید.
گام پنجم : پیکربندی CSF
اسکریپت بالا CSF را در مد Testing نصب و راه اندازی خواهد کرد. این به این معنی است که آن به صورت کامل سرور شما را محافظت نخواهد کرد. برای غیرفعال کردن مد Testing شما نیاز دارید CSF خود را برای TCP_IN ،TCP_OUT،UDP_IN و UDP_OUT پیکربندی کنید که بهترین گزینه برای نیاز شما می باشد. فایل /etc/csf/csf.conf را باز کنید و تغییرات زیر را ایجاد کنید.
شما می توانید برای غیرفعال کردن مد Testing متغیر TESTING=”1” را به 0 تغییر دهید. اما قبل از تغییر آن به شما پیشنهاد می کنیم که فایل readme آنرا کامل بخوانید.
گام ششم : راه اندازی CSF
حالا CSF شما آماده راه اندازی است، با دستور زیر آنرا برای راه اندازی در هنگام ریبوت فعال کنید.
گام هفتم : پیکربندی گزینه های CSF و usage
گزینه های زیر برای تغییرات و کنترل پیکربندی csf استفاده می شود. تمام فایل های پیکربندی csf در دایرکتوری /etc/csf هستند. اگر شما هر کدام از فایل های زیر را تغییر دهید شما به ریستارت کردن دیمون Csf نیاز خواهید داشت.
گام هشتم : دستورات و گزینه های CSF
برخی از دستورات و گزینه های رایج برای اضافه و یا رد کردن آدرس های IP وجود دارند. گزینه ی –d برای رد کردن یک Ip و گزینه ی –a برای اجازه دادن یک Ip و گزینه ی –r برای reload کردن تمام ruleها استفاده می شود.
در صورتی که شما دستورات را فراموش کردید تنها کافی است csf را تایپ کنیدو لیستی از گزینه ها برای شما نشان داده خواهد شد.
گام نهم : حذف فایروال CSF
اگر شما می خواهید فایروال را به صورت کامل حذف کنید، تنها کافی است اسکریپت /etc/csf/uinstall.sh را اجرا کنید.
دستور بالا به طور کامل تمام فایل ها و دایرکتوری های فایروال csf را حذف خواهد کرد.
همچنین توصیه میشود مقالات زیر را مطالعه کنید :
دستورات مفید Firewalld برای تنظیم و مدیریت فایروال در لینوکس
تنظیمات FirewallD در لینوکس RHEL/CentOS 7 و Fedora 21
نحوه اضافه کردن یک Service یا Port به FirewallD
ترفندها و دستورات iptables
آموزش تنظیمات فایروال لینوکس (iptable)
نحوه بستن/مسدود کردن ping در فایروال لینوکس
آموزش نصب و کانفیگ pfsense 2.3.2 firewall/router
موفق باشید ...
یکی از محبوب ترین و قوی ترین فایروال ها روی اینترنت به نام CSF است. که می تواند با کنترل پنل webmin مجتمع گردد. اما در این مقاله ما تنها در مورد نحوه ی راه اندازی و پیکربندی فایروال CSF در Red Hat 6.3/6.2/6.1/6/5.8، CentOS 6.3/6.2/6.1/6/5.8 و Fedora 17,16,15,14,13,12 بحث خواهیم کرد.
CSF چیست؟
CSF (مخفف ConfigServer Security & Firewall) یک برنامه ی متن باز stateful و فایروالی بسیار پیشرفته و امن برای سرورهای لینوکس با گزینه ها و امکانات پیکربندی بسیار در مقایسه با فایروال های دیگر است. برای شناخت درباره ویژگی های آن به لینک زیر مراجعه کنید.
کد:
http://www.configserver.com/cp/csf.html
گام اول : نصب ماژول های مورد نیاز CSF
ماژول های perl مورد نیاز را برای اسکریپت CSF نصب کنید، در غیراینصورت شما خطایی شبیه به libwww not being installed خواهید دید.
کد:
# yum install perl-libwww-perl
گام دوم : دانلود کردن CSF
هنگامی که نرم افزار جدیدی را دانلود می کنید و آنرا نصب می کنید، استفاده از دایرکتوری /tmp ایده ی خوبی است. از دستور wget برای دانلود استفاده کنید.
کد:
# cd /tmp # wget http://www.configserver.com/free/csf.tgz
گام سوم : حذف فایروال موجود
اگر شما از فایروال های دیگرiptables همچون APf یا BFD استفاده می کنید انرا حذف کنید. به دلیل اینکه شما نمی توانید از دو اسکریپت فایروال برروی یک سرور استفاده کنید. بنابراین برای جلوگیری از تداخل شما باید هر فایروال دیگری را حذف کنید.
کد:
# sh /tmp/csf/remove_apf_bfd.sh
گام چهارم : نصب CSF
هنگامیکه دانلود کامل شد، تمام فایل ها را با استفاده از دستور tar استخراج کنید و به دایرکتوری csf ایجاد شده تغییر دهید. سپس اسکریپت نصب را برای نصب آن اجرا کنید.
کد:
# cd /tmp # tar -xzf csf.tgz # cd csf # sh install.sh
گام پنجم : پیکربندی CSF
اسکریپت بالا CSF را در مد Testing نصب و راه اندازی خواهد کرد. این به این معنی است که آن به صورت کامل سرور شما را محافظت نخواهد کرد. برای غیرفعال کردن مد Testing شما نیاز دارید CSF خود را برای TCP_IN ،TCP_OUT،UDP_IN و UDP_OUT پیکربندی کنید که بهترین گزینه برای نیاز شما می باشد. فایل /etc/csf/csf.conf را باز کنید و تغییرات زیر را ایجاد کنید.
کد:
# Allow incoming TCP ports [B]TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"[/B] # Allow outgoing TCP ports [B]TCP_OUT = "20,21,22,25,53,80,110,113,443"[/B] # Allow incoming UDP ports [B]UDP_IN = "20,21,53"[/B] # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list [B]UDP_OUT = "20,21,53,113,123"[/B]
شما می توانید برای غیرفعال کردن مد Testing متغیر TESTING=”1” را به 0 تغییر دهید. اما قبل از تغییر آن به شما پیشنهاد می کنیم که فایل readme آنرا کامل بخوانید.
کد PHP:
http://configserver.com/free/csf/readme.txt
کد:
TESTING = "0"
گام ششم : راه اندازی CSF
حالا CSF شما آماده راه اندازی است، با دستور زیر آنرا برای راه اندازی در هنگام ریبوت فعال کنید.
کد:
# chkconfig --level 235 csf on # service csf restart
گام هفتم : پیکربندی گزینه های CSF و usage
گزینه های زیر برای تغییرات و کنترل پیکربندی csf استفاده می شود. تمام فایل های پیکربندی csf در دایرکتوری /etc/csf هستند. اگر شما هر کدام از فایل های زیر را تغییر دهید شما به ریستارت کردن دیمون Csf نیاز خواهید داشت.
- csf.conf :فایل پیکربندی اصلی جهت کنتزل CSF
- csf.allow : لیستی از آی پی های اجازه داده شده و ادرس های CIDR روی فایروال.
- csf.deny : لیستی از آی پی های deny شده و آدرس های CIDR روی فایروال
- csf.ignore : لیستی از آی پی های ignore شده و آدرس های CIDR روی فایروال
- csf.ignore :لیستی از فایلهای ignore کاربران و IPها
گام هشتم : دستورات و گزینه های CSF
برخی از دستورات و گزینه های رایج برای اضافه و یا رد کردن آدرس های IP وجود دارند. گزینه ی –d برای رد کردن یک Ip و گزینه ی –a برای اجازه دادن یک Ip و گزینه ی –r برای reload کردن تمام ruleها استفاده می شود.
کد:
# csf -d IPADDRESS # csf -a IPADDRESS # csf -r
کد:
# csf
گام نهم : حذف فایروال CSF
اگر شما می خواهید فایروال را به صورت کامل حذف کنید، تنها کافی است اسکریپت /etc/csf/uinstall.sh را اجرا کنید.
کد:
# /etc/csf/uninstall.sh
دستور بالا به طور کامل تمام فایل ها و دایرکتوری های فایروال csf را حذف خواهد کرد.
همچنین توصیه میشود مقالات زیر را مطالعه کنید :
دستورات مفید Firewalld برای تنظیم و مدیریت فایروال در لینوکس
تنظیمات FirewallD در لینوکس RHEL/CentOS 7 و Fedora 21
نحوه اضافه کردن یک Service یا Port به FirewallD
ترفندها و دستورات iptables
آموزش تنظیمات فایروال لینوکس (iptable)
نحوه بستن/مسدود کردن ping در فایروال لینوکس
آموزش نصب و کانفیگ pfsense 2.3.2 firewall/router
موفق باشید ...