هنگام راهاندازی یک سیستم سرور میزبان (VPS)، وجود یک سیستم فایروال به عنوان یک «دیوار» محکم برای محافظت از سیستم ضروری است. فایروال CSF، یک اسکریپت پیکربندی فایروال است که برای امنیت بهتر برای سرور شما ایجاد شده و در عین حال یک رابط کاربری پیشرفته و آسان برای مدیریت تنظیمات فایروال به شما ارائه میدهد. در این مقاله قصد داریم تا درباره شیوه نصب و تنظیمات فایروال CSF صحبت کنیم.
CSF چیست؟
Config Server Security & Firewall که به اختصار CSF نامیده میشود، یکی از محبوبترین و قدرتمندترین فایروالهای مدیریت IPtables در سیستم عامل لینوکس است و توسط شرکت configserver به صورت رایگان و متن باز (Open Source) عرضه شده است.
CSF مانند تمامی فایروالها وظیفه حفاظت از سرور را دارد و همانطور که از اسم آن مشخص است، یک دیوار آتشین است که از انواع حملات -که مهمترین آنها syn flood ،، DDos و Brute force است- جلوگیری میکند. از ویژگیهایی که موجب محبوب شدن این فایروال شده است، میتوان به مدیریت بیشتر محتوای سرور مثل مدیریت پورتها، مدیریت کانکشنها، مدیریت پروسسها و… اشاره کرد. در بخش بعد با امکانات CSF بیشتر آشنا میشوید.
سیستمهای پشتیبانی شده در CSF
سیستم عامل های پشتیبانی و تست شده CSF عبارتند از:
- Fedora از ورژن 1 تا 22
- openSUSE ورژن 10 و 11 و 12
- Debian از ورژن 3.1 تا 8
- Slackware ورژن 12
- RedHat Enterprise از ورژن 3 تا 7
- CentOS از ورژن 3 تا 7
- CloudLinux از ورژن 3 تا 7
- Ubuntu ورژن 6 تا 15
لیست مجازیسازهای پشتیبانی شده:
- **Openvz
- UML
- KV
- VirtualBox
- Xen
- VMware
- Virtuozzo
امکانات CSF
CSF فایروال سرور شما را به گونهای پیکربندی میکند که دسترسی عمومی به خدمات مسدود شده و فقط به اتصالات و خدمات خاصی مانند ورود با FTP، بررسی ایمیل یا بارگذاری وب سایتها اجازه فعالیت میدهد. علاوه بر موارد بیان شده، فایروال Config Server طیف گستردهای از سرویسهای کنترل امنیت را برای VPS ارائه میدهد. مانند:
مقابله با حملات brute force
CSF دارای سرویسی به نام Login Failure Daemon یا LFD است. LFD گزارشهای مربوط به تلاشهای ناموفق ورود به سیستم را در یک بازه زمانی منظم بررسی میکند و قادر است اغلب تلاشهای غیرمجاز برای دسترسی به سرور ابری شما را تشخیص دهد. شما میتوانید براساس نیاز و پس از چند بار تلاش ناموفق، اقدام CSF را در فایل پیکربندی تعریف کنید. علاوه بر اینها، میتوانید در فایلهای لاگین، شروط وارد شدن یک کاربر را به صورت عبارات منظم تعریف کنید. این امکان در صورتی میتواند مفید باشد که بخواهید کاربر را پس از تعداد مشخصی تلاش مسدود کنید.
مطلب مرتبط: حمله Brute Force چیست؟ هکرها در کمین رمز عبور
ردیابی فرآیند
شما میتوانید CSF را برای ردیابی فرآیندها به منظور شناسایی فرآیندهای مشکوک یا باز کردن پورت های شبکه پیکربندی کنید و در صورت شناسایی، یک ایمیل به مدیر سیستم بفرستید. این به شما کمک میکند تا یک سوء استفاده احتمالی در VPS خود را در زمان کوتاهی شناسایی و متوقف کنید.
نظارت بر دایرکتوری
CSF دایرکتوری /temp و سایر پوشههای مربوطه را برای شناسایی اسکریپتهای مخرب بررسی میکند و در صورت شناسایی یک ایمیل برای مدیر سیستم ارسال میکند.
سرویس پیام رسان
فعال کردن این ویژگی به CSF این امکان را می دهد که هنگام اعمال یک پروتکل، پیام مشخصتری برای مشتری ارسال شود. این ویژگی هم دارای مزایا و هم دارای معایب مخصوص به خود است؛ از یک طرف، فعال کردن آن اطلاعات بیشتری را در اختیار کاربر قرار می دهد و بنابراین ممکن است باعث ناامیدی کمتری (برای مثال در صورت عدم موفقیت در ورود به سیستم) شود. از سوی دیگر، این اطلاعات بیشتر ممکن است فرآیند حمله به VPS شما را برای مهاجمان آسانتر کند.
Port knocking
Port knocking به کاربران این امکان را میدهد که با سروری بدون درگاه باز ارتباط برقرار کنند. در اصل سرور به کاربران اجازه میدهد تنها پس از یک توالی موفقیت آمیز به پورت های اصلی متصل شوند. اگر خدماتی را ارائه میدهید که قرار است فقط برای مخاطبان خاصی در دسترس باشد، این ویژگی میتواند برای شما مفید باشد.
محدودکردن اتصالات فعال
از این ویژگی میتوان برای محدود کردن تعداد اتصالات فعال همزمان از یک آدرس IP به هر پورت استفاده کرد. اگر این محدودیت به درستی پیکربندی شود، ممکن است از سوء استفادههای روی سرور مانند حملات DoS جلوگیری کند.
تغییر مسیر آدرس پورت/IP
CSF را می توان به گونه ای پیکربندی کرد که اتصالات به یک IP/پورت را به IP/پورت دیگری هدایت کند. البته توجه داشته باشید که پس از تغییر مسیر، آدرس منابع کاربری، آدرس IP سرور خواهد بود.
ادغام رابط کاربری
علاوه بر رابط خط فرمان، CSF همچنین یک رابط کاربری گرافیکی را برای cPanel و Webmin ارائه میدهد. پس اگر با خط فرمان لینوکس آشنایی ندارید، ممکن است این ویژگی برای شما مفید باشد.
کار با IP های مسدود شده
CSF به شما این امکان را میدهد تا IPها را به صورت دستی در لیست سفید یا سیاه در فایروال خود قرار دهید. همچنین قادر خواهید بود تا لیست آدرسهای IP مسدود شده را به طور خودکار از منابع تعریف شده دانلود کنید.
نصب آسان با دستورات SSH
در بسیاری از فایروالها باید دردسرهای زیادی را برای اتصال با SSH متحمل شوید، در حالی که در CSF میتوانید بدون نیاز به کار خاصی از طریق دسترسی های ارائه شده با SSH این فایروال را راه اندازی کنید.
مطلب مرتبط: پروتکل SSH چیست و چه کاربردی دارد؟
رایگان بودن
همانطور که در بخشهای قبلی اشاره کردیم، استفاده از فایروال CSF کاملا رایگان است و با مراجعه به سایت اصلی آن میتوانید آن را به راحتی دانلود کنید.
آموزش نصب و تنظیمات فایروال CSF
برای نصب CSF در لینوکس، کافی است تا مراحل زیر را طی کنید:
گام اول: دانلود و استخراج
در حال حاضر، CSF در دبیان یا اوبونتو موجود نیست و باید از سایت رسمی آن دانلود کنید. فایل دانلودشده بستهای فشرده از tar است و قبل از استفاده، باید با دستور زیر آن را از حالت فشرده خارج و استخراج کنید:
tar -xzf csf.tgz
گام دوم: غیرفعال کردن UFW
اگر از اسکریپتهای پیکربندی فایروال دیگری مانند UFW استفاده میکنید، قبل از ادامه، باید آن را غیرفعال کنید. قوانین iptables بهطورخودکار حذف میشوند. برای غیرفعال کردن UFW از دستور زیر استفاده کنید:
ufw disable
گام سوم: نصب CSF
و با دستورهای زیر CSF را نصب کنید:
cd csf sh install.sh
گام چهارم: بررسی وضعیت ماژولها
اکنون CSF نصب شده است و باید بررسی کنید که آیا ماژولهای موردنیاز iptables دردسترس هستند یا خیر:
perl /usr/local/csf/bin/csftest.pl
اگر هیچ خطایی دریافت نکردید، یعنی موفق شدید تا ماژول را با موفقیت نصب کنید.
کانفیگ CSF
جهت کانفیگ و پیکربندی فایروال CSF میتوانید فایلهایی که در این بخش معرفی شده است را تغییر دهید. بهتر است بدانید که در توزیعهای لینوکسی عموما این فایل ها در آدرس /etc/csf/ قرار دارد.
csf.conf
در صورتی که بخواهید هر تغییری را در پیکربندی فایروال انجام دهید، فایل اصلی پیکربندی فایروال فایل csf.conf میباشد، توضیحات کاملتر در مورد این فایل را در لینک https://blog.iranserver.com/firewall-csf مشاهده کنید.
شما میتوانید از طریق رابط گرافیکی CSF از داخل سی پنل و دایرکت ادمین به این فایل دسترسی پیدا کنید و آن را ویرایش نمایید و یا از دستور nano برای ویرایش آن استفاده کنید.
csf.allow
آی پی های مجاز و white در فایل csf.allow ذخیره میشوند.
csf.deny
آی پیهای بلاک شده در فایل csf.deny ذخیره می شوند.
csf.ignore
لیستی از IP هایی که فایروال باید آنها را نادیده بگیرد و در هیچ شرایطی مسدود نکند.
csf.*ignore
لیستی از IP ها ، File ها ، User هایی که میبایست نادیده گرفته شود و مسدود نشوند، در این فایل قرار میگیرند.
نکته: در صورت تغییر در هر کدام از فایلهای اعلام شده فایروال باید ریستارت شود که جهت انجام این کار میتوانید از دستور زیر استفاده نمایید:
Csf –r
برخی از پرکاربردترین دستورات CSF
غیرفعال کردن CSF
csf –x
فعال کردن CSF
csf –e
ریستارت کردن CSF
csf –r
ریستارت سریع CSF
csf –q
بلاک کردن IP در CSF
حذف و unblock تمام IPهایی که در /etc/csf/csf.deny وجود دارند:
csf –df
مشاهده کلیه تنظیمات اعمال شده IPv4 سرویس iptables
csf –l
مشاهده کلیه تنظیمات اعمال شده IPv6 سرویس iptables
csf -l6
توجه: در ادامه دستورات، آی پی زیر به عنوان نمونه ذکر شده است و کافی است تا آی پی مورد نظرتان را جایگزین نمایید:
csf -tr 192.168.1.2
حذف کردن IP از لیست temporary یا allow list
csf -tr 192.168.1.2
اضافه کردن IP درwhitelist یا همان فایل allow در مسیر /etc/csf/csf.allow
csf -a 192.168.1.2
حذف IP از فایل allow در مسیر /etc/csf/csf.allow)
csf-ar 192.168.1.2
حذف IP از deny list در مسیر /etc/csf/csf.allow)
csf-dr 192.168.1.2
بلاک کردن یا اضافه کردن IP در فایل deny در مسیر /etc/csf/csf.deny )
csf -d 192.168.1.2
چک کردن IP و مشخص شدن بلاک بودن یا نبودن
توجه: دقت داشته باشید که درصورتی که آی پی بلاک شده باشد دلیل آن نیز مشخص میشود.
csf-g 192.168.1.2
مطلب مرتبط: آموزش رفع مشکل مسدود شدن و بررسی بلاک بودن ip در فایروال سرور
آنچه در آشنایی با CSF خواندیم
CSF یکی از پرطرفدارترین فایروالها است. این فایروال قابلیتهای بسیاری دارد که مفصل درمورد هریک صحبت کردیم. اگر این مقاله پاسخ سوالتان را نداد یا هرگونه ابهامی در این رابطه دارید، در بخش کامنتهای همین پست آن را با ما مطرح کنید. متخصصان و کارشناسان ایران سرور بهزودی پاسخ شما را خواهند داد و گره مشکلتان را باز خواهند کرد.
سؤالات متداولی که شما میپرسید.
- فایروال ConfigServer یا CSF چیست؟
فایروال ConfigServer که با نام CSF نیز شناخته می شود، یک اسکریپت پیکربندی فایروال است که برای ایجاد امنیت بهتر برای سرور ایجاد شده و در عین حال یک رابط کاربری پیشرفته و آسان را برای مدیریت تنظیمات فایروال به شما ارائه میدهد.
- تفاوت CSF و LFD چیست؟
CSF یک فایروال محبوب با امکاناتی نظیر تشخیص نفوذ و تنظیم برنامههای امنیتی برای سرورهای لینوکسی است اما LFD به فرآیند تشخیص ورود گفته میشود و در سرورهایی اجرا میشود که از CSF برای امنیت خود استفاده میکنند.
- چگونه یک IP در CSF را در لیست سفید قرار دهیم؟
وارد WHM شوید. سپس در نوار کناری سمت چپ، در قسمت Plugins، روی ConfigServer Security & Firewall کلیک کنید. در قسمت csf – Quick Actions، قسمت Quick Allow را پیدا کنید. در کادر متنی Allow IP address آدرس IP را تایپ کرده و در نهایت روی Quick Allow کلیک نمایید.
منابع: