如何在 AlmaLinux 9 上安装和配置 CSF
ConfigServer Security & Firewall (CSF) 是一个基于 iptables 的防火墙,为 Linux 系统提供高级别的安全性。
CSF 包括广泛的功能,例如 IP 阻止、端口阻止和 DoS 保护。它还支持高级安全措施,例如速率限制、连接跟踪和 SSH 登录检测。除了防火墙功能外,CSF 还包括用于系统和文件完整性检查以及电子邮件和登录跟踪的工具。
步骤 1:更新操作系统
更新您的 AlmaLinux 9 操作系统以确保所有现有软件包都是最新的:
也可以看看:
# dnf update另外,安装:
# dnf install wget nano tar第 2 步:禁用 firewalld 和任何其他 iptables 防火墙
运行以下命令停止并禁用firewalld服务:
# systemctl stop firewalld
# systemctl disable firewalld第 3 步:为 CSF 安装所需的 Perl 模块
安装 CSF 所需的以下 Perl 模块。
# dnf install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph如果某些模块在默认存储库中不可用,请使用以下命令安装 epel 存储库:
# dnf install epel-release然后再次尝试安装模块。
第 4 步:下载 CSF
默认情况下,AlmaLinux 标准存储库中不提供 CSF,因此您需要从其官方网站下载。
# wget https://download.configserver.com/csf.tgz下载后,使用以下命令解压缩文件:
# tar xzf csf.tgz将目录更改为提取的目录:
# cd csf通过运行安装脚本安装 CSF:
# sh install.sh然后你可以使用下面的命令检查 iptables 模式。
# perl /usr/local/csf/bin/csftest.pl您应该看到以下输出:
Testing ip_tables/iptable_filter…OK
Testing ipt_LOG…OK
Testing ipt_multiport/xt_multiport…OK
Testing ipt_REJECT…OK
Testing ipt_state/xt_state…OK
Testing ipt_limit/xt_limit…OK
Testing ipt_recent…OK
Testing xt_connlimit…OK
Testing ipt_owner/xt_owner…OK
Testing iptable_nat/ipt_REDIRECT…OK
Testing iptable_nat/ipt_DNAT…OK
RESULT: csf should function on this server第 5 步:配置 CSF
CSF 默认以测试模式运行。要禁用它,您需要编辑该/etc/csf/csf.conf文件。
# nano /etc/csf/csf.conf找到该行 TESTING = 1 并将值更改为 0否则 LFD 守护程序无法启动。
TESTING = "0"找到该行 RESTRICT_SYSLOG = 0 并将其值更改为 3。这意味着只有成员 RESTRICT_SYSLOG_GROUP 才能访问这些 syslog/rsyslog 文件。
RESTRICT_SYSLOG = "3"此外,您可以根据需要允许传入和传出端口:
# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"完成所有配置后,重新启动并启用 CSF:
# systemctl restart csf && systemctl restart lfd
# systemctl enable csf && systemctl enable lfd
# systemctl status csf && systemctl status lfd第 6 步:启用 CSF GUI
默认情况下,它在 CSF 默认配置文件中是禁用的,因此您需要先启用它。要启用,CSF GUI您需要在配置文件中设置集成用户界面部分 csf.conf 。
CSF使用以下命令打开主配置文件:
# nano /etc/csf/csf.conf更改以下行:
###############################################################################
# SECTION:Integrated User Interface
###############################################################################
# 1 to enable, 0 to disable web ui
UI = "1"
# Set port for web UI. The default port is 6666.
UI_PORT = "8888"
# Leave blank to bind to all IP addresses on the server
UI_IP = ""
# Set username for authetnication
UI_USER = "admin"
# Set a strong password for authetnication
UI_PASS = "Test@12345"接下来,您需要允许您要访问的 IP CSF GUI。您可以允许整个子网,也可以选择允许某些特定的 IP 地址,如下所示。
# echo "YOUR_PUBLIC_IP_ADDRESS" >> /etc/csf/ui/ui.allow然后重新启动CSF和LFD服务以应用更改。
# systemctl restart csf
# systemctl restart lfd步骤 7:访问 CSF Web 界面
打开 Web 浏览器并输入 URL https://your-server-IP:8888。您将被重定向到CSF登录页面:
提供您的管理员用户名和密码,然后单击“输入”按钮。您应该看到仪表板:
步骤:8:使用命令行管理 CSF
要列出所有防火墙规则,请运行以下命令:
# csf -l要停止CSF,请运行以下命令:
# csf -s要允许特定 IP 地址,请运行以下命令:
# csf -a IP-address要拒绝 IP 地址,请运行以下命令:
# csf -d IP-address要从规则中删除被阻止的 IP 地址CSF,请运行以下命令:
# csf -dr IP-address要验证 IP 地址是否被阻止,请运行以下命令:
# csf -g IP-address要刷新CSF防火墙规则,请运行以下命令:
# csf -f要禁用CSF,请运行以下命令:
# csf -x步骤 9:在 AlmaLinux 上卸载 CSF 和 LFD
运行以下脚本以从您的系统中删除CSF和LFD。
# sh /etc/csf/uninstall.sh重要 CSF 配置文件列表
以下是控制CSF.
csf.conf– 主配置文件,它有有用的注释解释每个选项的作用csf.allow– 应始终允许通过防火墙的 IP 和 CIDR 地址列表csf.deny– 永远不允许通过防火墙的 IP 和 CIDR 地址列表csf.ignore– lfd 应该忽略的 IP 和 CIDR 地址列表,如果检测到则不会阻止csf.*ignore– 列出文件、用户、lfd 应该忽略的 IP 的各种忽略文件。查看每个文件的特定用途和税收
如果手动修改这些文件,需要重启csf,然后lfd才能生效。
结论
恭喜!您已成功安装CSF防火墙。感谢您使用本教程在您的 AlmaLinux 9 操作系统上安装 ConfigServer Security & Firewall (CSF)。如需其他帮助或有用信息,您可以查看官方 CSF 防火墙网站。
