Hướng Dẫn Cài Đặt Và Cấu Hình Cơ Bản CSF

Bài viết này sẽ hướng dẫn bạn cách Cài Đặt Và Cấu Hình Cơ Bản CSF. Nếu bạn cần hỗ trợ, xin vui lòng liên hệ VinaHost qua Hotline 1900 6046 ext.3, email về support@vinahost.vn hoặc chat với VinaHost qua livechat https://livechat.vinahost.vn/chat.php.

CSF là gì?

CSF (ConfigServer & Firewall) là một công cụ trên Linux được tạo ra để cung cấp cho người dùng khả năng quản lý firewall một cách tiên tiến và thuận tiện hơn. CSF hoạt động dựa trên iptableslfd (Login Failure Daemon) để xử lý các kết nối và phát hiện nếu có cuộc tấn công đang diễn ra.

Tính năng của CSF

  • Hạn chế các loại hình DDOS.
  • Chống scan port.
  • Đưa ra các lời khuyên về việc cấu hình server (VD: Nên nâng cấp MySQL lên bản mới hơn).
  • Chống BruteForce attack vào ftp server, web server, mail server, directadmin, cPanel…
  • Hạn chế Syn flood.
  • Chống Ping flood.
  • Cho phép ngăn chặn truy cập từ 1 quốc gia nào đó bằng cách chỉ định Country Code chuẩn ISO.
  • Hỗ trợ cả IPv6 và IPv4.
  • Cho phép khóa IP tạm thời và vĩnh viễn ở tầng mạng (an toàn hơn ở tầng ứng dụng ) nên webserver không phải mệt nhọc xử lý yêu cầu từ các IP bị cấm nữa.
  • Cho phép chuyến hướng yêu cầu từ các IP bị khóa sang một file html để thông báo cho người dùng biết IP của họ bị khóa.
  • Và một số tính năng khác.

Hướng dẫn cài đặt CSF

  • Cài đặt module perl:
# yum install perl-libwww-perl
  • Tải file nén chứa script cài đặt CSF:
# cd /tmp

# wget https://download.configserver.com/csf.tgz

  • Giải nén file vừa tải:
# tar -xzf csf.tgz
  • Truy cập vào thư mục vừa được giải nén:
# cd csf
  • Thực thi script cài đặt:
# sh install.sh

 

*) Lưu ý: Đối với các hệ thống có sử dụng web control panel như cPanel, DirectAdmin, CWP, Vesta… ta sẽ thực hiện cài đặt bằng script cài đặt tương ứng, ví dụ:

# sh install.cpanel.sh

hoặc

# sh install.directadmin.sh

hoặc

# sh install.cwp.sh

hoặc

# sh install.vesta.sh

 

Hướng dẫn cấu hình CSF

Mặc định, sau khi cài đặt, CSF sẽ ở chế độ Testing, nghĩa là các cấu hình của CSF chưa được áp vào firewall của hệ thống. Để tắt chế độ Testing, ta thực hiện như sau:

  • Mở file cấu hình CSF:
# nano /etc/csf/csf.conf
  • Sửa lại thông số TESTING từ 1 thành 0:
TESTING = “0”

Và cùng tại file cấu hình csf.conf này, ta có thể quy định mở những port nào để người ngoài có thể truy cập được, ví dụ dưới đây ta sẽ mở port SSH (22), port FTP (20, 21), các port website (80, 443) và các port liên quan tới mail (25, 110, 143, 443, 465, 587, 993, 995):

# Allow incoming TCP ports

TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995”

Để whitelist một địa chỉ IP hoặc một range IP, ta dùng lệnh sau:

# csf -a 123.123.123.123hoặc# csf -a 123.123.123.0/24

Hoặc ta có thể thêm địa chỉ IP hoặc range IP đó vào file csf.allow như sau:

# nano /etc/csf/csf.allow123.123.123.123 # whitelist IP123.123.123.0/24 # whitelist IP range

Để blacklist một địa chỉ IP hoặc một range IP, ta dùng lệnh sau:

# csf -d 123.123.123.123hoặc# csf -d 123.123.123.0/24

Hoặc ta có thể thêm địa chỉ IP hoặc range IP đó vào file csf.allow như sau:

# nano /etc/csf/csf.deny123.123.123.123 # blacklist IP123.123.123.0/24 # blacklist IP range

*) Lưu ý: Khi thực hiện whitelist hay blacklist một địa chỉ IP hoặc range IP bằng cách chỉnh sửa file cấu hình, ta phải thêm phần ghi chú vào phía sau địa chỉ IP hoặc range IP đó và thực hiện reload lại CSF để nhận cấu hình:

# csf -r

Một số lệnh thường dùng của CSF

  • csf -d <IP>

=> Blacklist một địa chỉ IP

  • csf -dr <IP>

=> Xóa địa chỉ IP ra khỏi blacklist

  • csf -a <IP>

=> Whitelist một địa chỉ IP

  • csf -ar <IP>

=> Xóa địa chỉ IP ra khỏi whitelist

  • csf -g <IP>

=> Kiểm tra một địa chỉ IP có nằm trong whitelist hoặc blacklist hay không

  • csf -r

=> Khởi động lại CSF

  • csf -x

=> Tắt CSF

  • csf -e

=> Mở CSF

 

22/03/2021
Was this article helpful?