
در ادامه مقاله ی امن کردن VPS یا سرور مجازی، در این شماره با نصب و پیکربندی CSF Firewall در لینوکس آشنا می شوید.
مراحل نصب CSF Firewall :
مرحله اول: دانلود CSF Firewall
برای دانلود این پکیج، نیاز به اضافه کردن Repository خاصی ندارید.
از وبسایت اصلی این فایروال، اقدام به دانلود آن می کنیم:
مرحله دوم: استخراج CSF Firewall
فایل دانلود شده با فرمت tar فشرده شده است که با دستور زیر آن را استخراج میکنیم:
1 |
tar -xzf csf.tgz |
مرحله سوم: نصب CSF Firewall
اگر فایروال فعال دیگری مثل UFW (فایروال پیش فرض ابونتو ) دارید، آن را غیر فعال کنید.
برای غیر فعال کردن UFW از دستور زیر استفاده کنید:
1 |
ufw disable |
با دستور زیر اسکریپت نصب CSF را اجرا کنید:
1 |
sudo sh csf/install.sh |
حالا CSF نصب شد. با دستور زیر بررسی کنید که ماژول های iptables در دسترس هستند یا fatal error دریافت می کنید:
1 |
sudo perl /usr/local/csf/bin/csftest.pl |
مراحل پیکربندی CSF Firewall :
مرحله چهارم: پیکربندی
CSF با استفاده از فایل csf.conf پیکربندی می شود.
با دستور زیر فایل را باز کنید و تغییرات و پیکربندی های مورد نیاز را انجام دهید:
1 |
sudo nano /etc/csf/csf.conf |
مرحله پنجم: پیکربندی پورت ها در CSF Firewall
هرچه پورت های کمتری را باز نگه دارید، امنیت سیستم عامل بالا تر می رود.
بستن پورت های غیر ضروری راه را برای نفوذ هکر ها میبندد.
پورت های باز پیشفرض CSF :
1 2 3 4 5 6 7 |
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443" UDP_IN = "20,21,53" UDP_OUT = "20,21,53,113,123" |
شاید بسیاری از پورت های بالا غیر ضروری باشند و شما نیازی به آن نداشته باشید. بهتر است تمام پورت ها را پاک کنید و فقط شماره پورت های مورد نیاز خود را بنویسید.
مثلا سیستم عامل شما هیچ نیازی به باز کردن وب سایتی ندارد، در نتیجه بهتر است پورت های 80 (http) و 443 (https) را از لیست پاک کنید.
در این لینک، لیستی از تمامی پورت ها وجود دارد که به کمکتان می آید.
مرحله ششم: پیکربندی IP ها در CSF Firewall
شاید شما نیاز به access list در این فایروال داشته باشید. یعنی مثلا بخواهید یک آدرس IP خاص یا یک شبکه را بلاک کنید. یا بخواهید تمام شبکه ها و IP ها را بلاک کنید و فقط به یک آدرس اجازه دسترسی بدهید.
فایل csf.deny برای بلاک کردن و فایل csf.allow برای اجازه دادن شبکه ها و IP ها به سیستم عامل شما می باشد.
به طور مثال می خواهیم آدرس 78.45.12.56 و رنج شبکه ی 192.168.98.0/24 را بلاک کنیم. اول از همه با دستور sudo nano /etc/csf/csf.deny فایل csf.deny را باز میکنیم و آدرس ها را مثل زیر به آن اضافه میکنیم:
1 2 |
78.45.12.56 192.168.98.0/24 |
همچنین میتوانید با استفاده از فایل csf.redirect اقدام به پیکربندی NAT کنید.
مرحله آخر: اعمال
بعد از تغییرات مورد نیاز، دستور زیر را بزنید تا تغییرات اعمال شوند:
1 |
sudo csf -r |
موفق باشید.