CFS(ConfigServer Security & Firewall)是一款Linux操作系统下常用的安全工具,为保护Linux服务器的安全提供简易面板。CFS具有以下功能:提供状态数据包检查、入侵检测、登录失败守护、DDoS防御,并且可以整合到各种主机管理面板上。这篇帮助介绍了CFS的安装方法、基本设置以及常用命令,基于一台安装了Ubuntu 20.04操作系统的云服务器。
安装CSF
由于Ubuntu 20.04默认安装了UFW防火墙,因此在安装CFS之前,需要先卸载UFW。
# apt remove ufw安装CSF的依赖包:
# apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
# apt install sendmail-bin开始安装CSF:
# cd /usr/src
# wget https://download.configserver.com/csf.tgz
# tar -xzf csf.tgz
# cd csf
# sh install.sh检查CSF是否安装成功
执行检测命令,确认CSF安装成功:
# perl /usr/local/csf/bin/csftest.pl
RESULT: csf should function on this server查看CSF的版本:
# csf -v
csf: v14.02 (generic)
*WARNING* TESTING mode is enabled - do not forget to disable it in the configuration设置CSF
编辑/etc/csf/csf.conf文件,禁用测试模式。找到TESTING = "1"这行,改为TESTING = "0"。
# nano /etc/csf/csf.conf再找到RESTRICT_SYSLOG = "0"这行,改为RESTRICT_SYSLOG = "3"。这样只有RESTRICT_SYSLOG_GROUP组的成员才能访问日志文件。
重启CSF使之生效:
# csf -ra启动CSF:
# csf -s 停止CSF:
# csf -f 允许指定端口的IP地址。在/etc/csf/csf.conf文件中增加如下代码:
# Allow incoming TCP ports
TCP_IN = 20,21,22,25,26,53,80,110,143,443,465,587,993,995,2077”
# Allow outgoing TCP ports
TCP_OUT = 20,21,22,25,26,37,43,53,80,110,113,443,465,873,2087”重启CSF使之生效:
# csf -ra禁用指定的IP地址,使用-d选项:
# csf -d 192.0.2.123从禁用列表中删除指定的IP地址,使用-dr选项:
# csf -dr 192.0.2.123允许指定的IP地址,使用-a选项:
# csf -a 192.0.2.123从允许列表中删除指定的IP地址,使用-ar选项:
# csf -ar 192.0.2.123禁止指定的一系列IP地址。在/etc/csf/csf.deny文件中增加如下代码:
192.0.2.123 # deny this IP
192.0.2.0/24 # deny this network 允许指定的一系列IP地址。在/etc/csf/csf.allow文件中增加如下代码:
192.0.2.123 # trust this IP检查所有的监听端口,使用-p选项:
# csf -p更多信息可参考CFS官方文档。