Instale y configure CSF (Config Server Firewall) y asegure su Debian 11.
CSF es una herramienta de seguridad popular para que Linux asegure el servidor con firewall de inspección de paquetes (SPI) con estado, detección de intrusos, un demonio de falla de inicio de sesión, protección DDOS e integración del panel de control.
En esta guía, aprenderá cómo instalar y configurar CSF y también los comandos esenciales para usar el firewall en Debian 11
Configuración inicial
Actualice los paquetes del servidor a la última versión.
sudo apt update sudo apt dist-upgrade -y
Si ya está utilizando UFW, que es un cortafuegos básico, elimine UFW con el siguiente comando.
sudo apt remove ufw
Instalar dependencias
Instale las dependencias requeridas que usa CSF.
sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
Instale Sendmail que utiliza CSF para la comunicación.
Puede consultar esta documentación para obtener información detallada sobre la configuración de Sendmail.
sudo apt install sendmail-bin
Ahora tiene todas las dependencias para instalar y configurar CSF.
Instalar CSF
Navegar a /usr/src directorio.
Descarga el último paquete usando wget .
sudo wget https://download.configserver.com/csf.tgz
Extraiga el paquete descargado.
sudo tar -xzvf csf.tgz
Ahora instala CSF.
cd csf sudo sh install.sh
Ahora recibirá un resultado como el siguiente que indica que la instalación se realizó correctamente.
Installation Completed
Verifique si los módulos de iptables requeridos están presentes.
sudo perl /usr/local/csf/bin/csftest.pl
Recibirá un resultado similar al siguiente.
Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server
Puede verificar la versión de CSF usando el siguiente comando.
sudo csf -v csf: v14.15 (generic) *WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
Configurar CSF
Una vez que el cortafuegos está instalado, está configurado para ejecutarse en modo PRUEBA de forma predeterminada.
Para deshabilitar el modo PRUEBA, debe realizar cambios en el /etc/csf/csf.conf archivo.
sudo nano /etc/csf/csf.conf
Localice la línea PRUEBA ="1" y cambie el valor a “0” .
TESTING = "0"
Localice la línea RESTRICT_SYSLOG =“0” y cambia el valor a “3” . Esto significa solo miembros del RESTRICT_SYSLOG_GROUP puede acceder a syslog/rsyslog archivos.
RESTRICT_SYSLOG = "3"
Presiona CTRL+X seguido de Y y ENTER para guardar y salir del archivo.
Vuelva a cargar LCR.
csf -ra
Configuración adicional
Para permitir conexiones de puertos adicionales.
Edite /etc/csf/csf.conf
Localice la directiva TCP_IN y agregue sus puertos.
# Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"
He agregado el puerto MYSQL para conectarme a un servidor remoto.
Reinicie CSF después de cada cambio.
sudo csf -ra
Comandos esenciales para administrar CSF
Iniciar CSF
sudo csf -s
Detener PPC
sudo csf -f
Reiniciar CSF
Debe reiniciar CSF cada vez que cambie el archivo de configuración.
sudo csf -ra
Permitir dirección IP
Usa el -a opción para permitir la dirección IP.
sudo csf -a 10.0.2.12
Denegar dirección IP
Usa el -d opción para permitir la dirección IP.
sudo csf -d 10.0.2.12
Eliminar IP de la lista de permitidos
sudo csf -ar 10.0.2.12
Eliminar IP de la lista de denegación
sudo csf -dr 10.0.2.12
Verificar si la IP está bloqueada
sudo csf -g IP-ADDRESS
Eliminar IP del bloque
sudo css -tr IP-ADDRESS
Permitir listas de IP
Agregue sus direcciones IP enumeradas en una línea separada en el archivo de permiso /etc/csf/csf.allow .
Denegar listas de IP
Agregue sus direcciones IP enumeradas en una línea separada en el archivo de permiso /etc/csf/csf.deny .
Conclusión
Ahora ha aprendido a proteger su servidor instalando y configurando CSF en Debian 11.
Gracias por tu tiempo. Si tiene algún problema o comentario, deje un comentario a continuación.