نصب و تنظیمات فایروال CSF

هنگام راه‌اندازی یک سیستم سرور میزبان (VPS)، وجود یک سیستم فایروال به عنوان یک «دیوار» محکم برای محافظت از سیستم ضروری است. فایروال CSF، یک اسکریپت پیکربندی فایروال است که برای امنیت بهتر برای سرور شما ایجاد شده و در عین حال یک رابط کاربری پیشرفته و آسان برای مدیریت تنظیمات فایروال به شما ارائه می‌دهد. در این مقاله قصد داریم تا درباره شیوه نصب و تنظیمات فایروال CSF صحبت کنیم.

CSF چیست؟

Config Server Security & Firewall که به اختصار CSF نامیده می‌شود، یکی از محبوبترین و قدرتمندترین فایروال‌های مدیریت IPtables در سیستم عامل لینوکس است و توسط شرکت configserver به صورت رایگان و متن باز (Open Source) عرضه شده است.

CSF مانند تمامی فایروال‌ها وظیفه حفاظت از سرور را دارد و همانطور که از اسم آن مشخص است، یک دیوار آتشین است که از انواع حملات -که مهمترین آن‌ها syn flood ،، DDos و Brute force است- جلوگیری می‌کند. از ویژگی‌هایی که موجب محبوب شدن این فایروال شده است، می‌توان به مدیریت بیشتر محتوای سرور مثل مدیریت پورتها، مدیریت کانکشنها، مدیریت پروسس‌ها و… اشاره کرد. در بخش بعد با امکانات CSF بیشتر آشنا میشوید.

سیستم‌های پشتیبانی شده در CSF

سیستم عامل های پشتیبانی و تست شده CSF عبارتند از:

•  Fedora  از ورژن 1 تا 22
• openSUSE  ورژن 10 و 11 و 12
• Debian  از ورژن 3.1 تا 8
• Slackware  ورژن 12
• RedHat Enterprise  از ورژن 3 تا 7
• CentOS  از ورژن 3 تا 7
• CloudLinux  از ورژن 3 تا 7
• Ubuntu  ورژن 6 تا 15

لیست مجازی‌سازهای پشتیبانی شده:

• **Openvz
• UML
• KV
• VirtualBox
• Xen
• VMware
• Virtuozzo

امکانات CSF

CSF فایروال سرور شما را به گونه‌ای پیکربندی می‌کند که دسترسی عمومی به خدمات مسدود شده و فقط به اتصالات و خدمات خاصی مانند ورود با FTP، بررسی ایمیل یا بارگذاری وب سایت‌ها اجازه فعالیت می‌دهد. علاوه بر موارد بیان شده، فایروال Config Server طیف گسترده‌ای از سرویس‌های کنترل امنیت را برای VPS (VPS چیست ؟) ارائه می‌دهد. مانند:

مقابله با حملات brute force

CSF دارای سرویسی به نام Login Failure Daemon یا LFD است. LFD گزارش‌های مربوط به تلاش‌های ناموفق ورود به سیستم را در یک بازه زمانی منظم بررسی می‌کند و قادر است اغلب تلاش‌های غیرمجاز برای دسترسی به سرور ابری شما را تشخیص دهد. شما می‌توانید براساس نیاز و پس از چند بار تلاش ناموفق، اقدام CSF را در فایل پیکربندی تعریف کنید. علاوه بر اینها، می‌توانید در فایل‌های لاگین، شروط وارد شدن یک کاربر را به صورت عبارات منظم تعریف کنید. این امکان در صورتی می‌تواند مفید باشد که بخواهید کاربر را پس از تعداد مشخصی تلاش مسدود کنید.

مطلب مرتبط: حمله بروت فورس چیست؟ هکرها در کمین رمز عبور

ردیابی فرآیند

شما می‌توانید CSF را برای ردیابی فرآیندها به منظور شناسایی فرآیندهای مشکوک یا باز کردن پورت های شبکه پیکربندی کنید و در صورت شناسایی، یک ایمیل به مدیر سیستم بفرستید. این به شما کمک می‌کند تا یک سوء استفاده احتمالی در VPS خود را در زمان کوتاهی شناسایی و متوقف کنید.

نظارت بر دایرکتوری

CSF دایرکتوری /temp و سایر پوشه‌های مربوطه را برای شناسایی اسکریپت‌های مخرب بررسی می‌کند و در صورت شناسایی یک ایمیل برای مدیر سیستم ارسال می‌کند.

سرویس پیام رسان

فعال کردن این ویژگی به CSF این امکان را می دهد که هنگام اعمال یک پروتکل، پیام مشخص‌تری برای مشتری ارسال شود. این ویژگی هم دارای مزایا و هم دارای معایب مخصوص به خود است؛ از یک طرف، فعال کردن آن اطلاعات بیشتری را در اختیار کاربر قرار می دهد و بنابراین ممکن است باعث ناامیدی کمتری (برای مثال در صورت عدم موفقیت در ورود به سیستم) شود. از سوی دیگر، این اطلاعات بیشتر ممکن است فرآیند حمله به VPS شما را برای مهاجمان آسان‌تر کند.

Port knocking

Port knocking به کاربران این امکان را می‌دهد که با سروری بدون درگاه باز ارتباط برقرار کنند. در اصل سرور به کاربران اجازه می‌دهد تنها پس از یک توالی موفقیت آمیز به پورت های اصلی متصل شوند. اگر خدماتی را ارائه می‌دهید که قرار است فقط برای مخاطبان خاصی در دسترس باشد، این ویژگی می‌تواند برای شما مفید باشد.

محدودکردن اتصالات فعال

از این ویژگی می‌توان برای محدود کردن تعداد اتصالات فعال همزمان از یک آدرس IP به هر پورت استفاده کرد. اگر این محدودیت به درستی پیکربندی شود، ممکن است از سوء استفاده‌های روی سرور مانند حملات DoS جلوگیری کند.

تغییر مسیر آدرس پورت/IP

CSF را می توان به گونه ای پیکربندی کرد که اتصالات به یک IP/پورت را به IP/پورت دیگری هدایت کند. البته توجه داشته باشید که پس از تغییر مسیر، آدرس منابع کاربری، آدرس IP سرور خواهد بود.

ادغام رابط کاربری

علاوه بر رابط خط فرمان، CSF همچنین یک رابط کاربری گرافیکی را برای cPanel و Webmin ارائه می‌دهد. پس اگر با خط فرمان لینوکس آشنایی ندارید، ممکن است این ویژگی برای شما مفید باشد.

کار با IP های مسدود شده

CSF به شما این امکان را می‌دهد تا IPها را به صورت دستی در لیست سفید یا سیاه در فایروال خود قرار دهید. همچنین قادر خواهید بود تا لیست آدرس‌های IP مسدود شده را به طور خودکار از منابع تعریف شده دانلود کنید.

نصب آسان با دستورات SSH

در بسیاری از فایروال‌ها باید دردسرهای زیادی را برای اتصال با SSH متحمل شوید، در حالی که در CSF می‌توانید بدون نیاز به کار خاصی از طریق دسترسی های ارائه شده با SSH این فایروال را راه اندازی کنید.

مطلب مرتبط: پروتکل SSH چیست و چه کاربردی دارد؟

رایگان بودن

همانطور که در بخش‌های قبلی اشاره کردیم، استفاده از فایروال CSF کاملا رایگان است و با مراجعه به سایت اصلی آن می‌توانید آن را به راحتی دانلود کنید.

آموزش نصب و تنظیمات فایروال CSF

برای نصب CSF در لینوکس، کافی است تا مراحل زیر را طی کنید:

گام اول: دانلود و استخراج

در ‌حال‌ حاضر، CSF در دبیان یا اوبونتو موجود نیست و باید از سایت رسمی آن دانلود کنید. فایل دانلود‌شده بسته‌ای فشرده از tar است و قبل از استفاده، باید با دستور زیر آن را از حالت فشرده خارج و استخراج کنید:

 tar -xzf csf.tgz

گام دوم: غیرفعال کردن UFW

اگر از اسکریپت‌های پیکربندی فایروال دیگری مانند UFW استفاده می‌کنید، قبل از ادامه، باید آن را غیرفعال کنید. قوانین iptables به‌طو‌رخودکار حذف می‌شوند. برای غیرفعال کردن UFW از دستور زیر استفاده کنید:

 ufw disable

گام سوم: نصب CSF

و با دستورهای زیر CSF را نصب کنید:

cd csf
sh install.sh

گام چهارم:  بررسی وضعیت ماژول‌ها

اکنون CSF نصب شده است و باید بررسی کنید که آیا ماژول‌های مورد‌نیاز iptables دردسترس هستند یا خیر:

 perl /usr/local/csf/bin/csftest.pl

اگر هیچ خطایی دریافت نکردید، یعنی موفق شدید تا ماژول را با موفقیت نصب کنید.

کانفیگ CSF

جهت کانفیگ و پیکربندی فایروال CSF می‌توانید فایل‌هایی که در این بخش معرفی شده است را تغییر دهید. بهتر است بدانید که در توزیع‌های لینوکسی عموما این فایل ها در آدرس /etc/csf/  قرار دارد.

csf.conf

در صورتی که بخواهید هر تغییری را در پیکربندی فایروال انجام دهید، فایل اصلی پیکربندی فایروال فایل csf.conf می‌باشد، توضیحات کاملتر در مورد این فایل را در لینک https://blog.iranserver.com/firewall-csf مشاهده کنید.

شما می‌توانید از طریق رابط گرافیکی CSF از داخل سی پنل و دایرکت ادمین به این فایل دسترسی پیدا کنید و آن را ویرایش نمایید و یا از دستور nano برای ویرایش آن استفاده کنید.

csf.allow

آی پی های مجاز و white در فایل csf.allow ذخیره می‌شوند.

csf.deny

آی پی‌های بلاک شده در فایل csf.deny ذخیره می شوند.

csf.ignore

لیستی از IP هایی که فایروال باید آن‌ها را نادیده بگیرد و در هیچ شرایطی مسدود نکند.

csf.*ignore

لیستی از IP ها ، File ها ، User هایی که می‌بایست نادیده گرفته شود و مسدود نشوند، در این فایل قرار می‌گیرند.

نکته: در صورت تغییر در هر کدام از فایل‌های اعلام شده فایروال باید ریستارت شود که جهت انجام این کار می‌توانید از دستور زیر استفاده نمایید:

Csf –r

برخی از پرکاربردترین دستورات CSF

غیرفعال کردن CSF

csf –x

فعال کردن CSF

csf –e

ریستارت کردن CSF

 csf –r

ریستارت سریع CSF

 csf –q

بلاک کردن IP در CSF

حذف و unblock تمام IPهایی که در /etc/csf/csf.deny وجود دارند:

csf –df

مشاهده کلیه تنظیمات اعمال شده IPv4 سرویس iptables

 csf –l

مشاهده کلیه تنظیمات اعمال شده IPv6 سرویس iptables

 csf -l6

توجه: در ادامه دستورات، آی پی زیر به عنوان نمونه ذکر شده است و کافی است تا آی پی مورد نظرتان را جایگزین نمایید:

 csf -tr 192.168.1.2

حذف کردن IP از لیست temporary یا allow list

 csf -tr 192.168.1.2

اضافه کردن IP درwhitelist  یا همان فایل allow  در مسیر /etc/csf/csf.allow

csf -a 192.168.1.2

حذف IP از فایل allow در مسیر /etc/csf/csf.allow)

 csf-ar 192.168.1.2

حذف IP از deny list در مسیر /etc/csf/csf.allow)

 csf-dr 192.168.1.2

بلاک کردن یا اضافه کردن IP در فایل deny در مسیر  /etc/csf/csf.deny )

csf -d  192.168.1.2

 چک کردن IP و مشخص شدن بلاک بودن یا نبودن

توجه: دقت داشته باشید که درصورتی که آی پی بلاک شده باشد دلیل آن نیز مشخص می‌شود.

csf-g 192.168.1.2

مطلب مرتبط: آموزش رفع مشکل مسدود شدن و بررسی بلاک بودن ip در فایروال سرور

آنچه در آشنایی با CSF خواندیم

CSF یکی از پرطرفدارترین فایروالها است. این فایروال قابلیت‌های بسیاری دارد که مفصل درمورد هریک صحبت کردیم. اگر این مقاله پاسخ سوال‌تان را نداد یا هرگونه ابهامی در این رابطه دارید، در بخش کامنت‌های همین پست آن را با ما مطرح کنید. متخصصان‌ و کارشناسان ایران سرور به‌زودی پاسخ شما را خواهند داد و گره مشکل‌تان را باز خواهند کرد.

سؤالات متداولی که شما می‌پرسید.

1. فایروال ConfigServer یا CSF چیست؟

فایروال ConfigServer که با نام CSF نیز شناخته می شود، یک اسکریپت پیکربندی فایروال است که برای ایجاد امنیت بهتر برای سرور ایجاد شده و در عین حال یک رابط کاربری پیشرفته و آسان را برای مدیریت تنظیمات فایروال به شما ارائه می‌دهد.

2. تفاوت CSF و LFD چیست؟

CSF یک فایروال محبوب با امکاناتی نظیر تشخیص نفوذ و تنظیم برنامه‌های‌ امنیتی برای سرورهای لینوکسی است اما LFD به فرآیند تشخیص ورود گفته می‌شود و در سرورهایی اجرا می‌شود که از CSF برای امنیت خود استفاده می‌کنند.

3. چگونه یک IP در CSF را در لیست سفید قرار دهیم؟

وارد WHM شوید. سپس در نوار کناری سمت چپ، در قسمت Plugins، روی ConfigServer Security & Firewall کلیک کنید. در قسمت csf – Quick Actions، قسمت Quick Allow را پیدا کنید. در کادر متنی Allow IP address آدرس IP را تایپ کرده و در نهایت روی Quick Allow کلیک نمایید.

 منابع:

digitalocean

azdigi