CSF是Linux服務(wù)器的防火墻應(yīng)用程序套件， CSF也是用于諸如SSH，SMTP，IMAP，Pop3，“su”命令等應(yīng)用程序的登錄/入侵檢測。 CSF可以例如檢測有人通過SSH登錄到服務(wù)器，并在此用戶嘗試使用服務(wù)器上的“su”命令獲取更高的權(quán)限時(shí)發(fā)出警報(bào)。 它還檢查郵件服務(wù)器（Exim，IMAP，Dovecot，uw-imap，Kerio），OpenSSH服務(wù)器，F(xiàn)tp服務(wù)器（Pure-ftpd，vsftpd，Proftpd），cPanel服務(wù)器上的登錄身份驗(yàn)證失敗，以取代像fail2ban這樣的軟件。 CSF是托管服務(wù)器的良好安全解決方案，可以集成到WHM / cPanel，DirectAdmin和Webmin的用戶界面（UI）中。因?yàn)镃SF是支持所有Linux系統(tǒng)的，今天為大家介紹如何在CentOS 7上安裝和配置CSF，僅供大家參考。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了丹棱免費(fèi)建站歡迎大家使用！

先決條件

CentOS 7（我的服務(wù)器使用IP 192.168.1.101）。 root權(quán)限。

我們將在本教程中做什么：

安裝CSF的依賴項(xiàng)。 安裝CSF 配置CSF。 基本CSF命令。 高級配置。

第1步 – 安裝CFS依賴關(guān)系

CSF基于Perl，所以您需要先在我們的服務(wù)器上安裝Perl。 您需要wget下載CSF安裝程序和vim （或您選擇的編輯器），以編輯CSF配置文件。 使用yum命令安裝軟件包：

yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes

第2步 – 安裝CSF

請?jiān)L問“/ usr / src /”目錄，并使用wget命令下載CSF。

cd /usr/src/

wget https://download.configserver.com/csf.tgz

提取tar.gz文件并轉(zhuǎn)到csf目錄，然后安裝它：

tar -xzf csf.tgz

cd csf

sh install.sh

您應(yīng)該得到CSF安裝完成的信息。

現(xiàn)在您應(yīng)該檢查該CSG是否真的在此服務(wù)器上正常工作。 轉(zhuǎn)到“/ usr / local / csf / bin /”目錄，然后運(yùn)行“csftest.pl” 。

cd /usr/local/csf/bin/

perl csftest.pl

如果您看到測試結(jié)果如下所示，那么CSF在您的服務(wù)器上運(yùn)行沒有問題：

RESULT: csf should function on this server

第3步 – 在CentOS 7上配置CSF

在進(jìn)入CSF配置過程之前，首先要知道的是，“CentOS 7”有一個(gè)名為“firewalld”的默認(rèn)防火墻應(yīng)用程序。 你必須停止防火墻，并將其從啟動(dòng)中刪除。

停止防火墻：

systemctl stop firewalld

從啟動(dòng)中禁用/刪除firewalld：

systemctl disable firewalld

然后轉(zhuǎn)到CSF配置目錄“/ etc / csf /” ，并使用vim編輯器編輯文件“csf.conf” ：

cd /etc/csf/

vim csf.conf

將第11行 “測試”改為“0”以應(yīng)用防火墻配置。

TESTING = “0”

默認(rèn)情況下，CSF允許SSH標(biāo)準(zhǔn)端口22的傳入和傳出流量，如果使用不同的SSH端口，請將端口添加到第139行“TCP_IN”中的配置 。

現(xiàn)在使用systemctl命令啟動(dòng)CSF和LFD：

systemctl start csf

systemctl start lfd

然后啟動(dòng)csf和lfd服務(wù)在啟動(dòng)時(shí)啟動(dòng)：

systemctl enable csf

systemctl enable lfd

現(xiàn)在，您可以通過命令查看CSF的默認(rèn)規(guī)則：

csf -l

第4步 – 基本的CSF命令

1.啟動(dòng)防火墻（啟用防火墻規(guī)則）：

csf -s

2.刷新/停止防火墻規(guī)則。

csf -f

3.重新加載防火墻規(guī)則。

csf -r

4.允許IP并將其添加到csf.allow。

csf -a 192.168.1.109

結(jié)果：

Adding 192.168.1.109 to csf.allow and iptables ACCEPT…

ACCEPT  all opt — in !lo out *  192.168.1.109  -> 0.0.0.0/0

ACCEPT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.109

5.從csf.allow中刪除并刪除IP。

csf -ar 192.168.1.109

結(jié)果：

Removing rule…

ACCEPT  all opt — in !lo out *  192.168.1.109  -> 0.0.0.0/0

ACCEPT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.109

6.拒絕IP并添加到csf.deny中：

csf -d 192.168.1.109

結(jié)果：

Adding 192.168.1.109 to csf.deny and iptables DROP…

DROP  all opt — in !lo out *  192.168.1.109  -> 0.0.0.0/0

LOGDROPOUT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.109

7.從csf.deny中刪除并刪除一個(gè)IP。

csf -dr 192.168.1.109

結(jié)果：

Removing rule…

DROP  all opt — in !lo out *  192.168.1.109  -> 0.0.0.0/0

LOGDROPOUT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.109

8.從csf.deny中刪除并解鎖所有條目。

csf -df

結(jié)果：

DROP  all opt — in !lo out *  192.168.1.110  -> 0.0.0.0/0

LOGDROPOUT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.110

DROP  all opt — in !lo out *  192.168.1.111  -> 0.0.0.0/0

LOGDROPOUT  all opt — in * out !lo  0.0.0.0/0  -> 192.168.1.111

csf: all entries removed from csf.deny

9.搜索iptables上的模式匹配，例如：IP，CIDR，端口號

csf -g 192.168.1.110

第5步 – 高級配置

這里有一些關(guān)于CSF的調(diào)整，所以你可以根據(jù)需要進(jìn)行配置。

返回到csf配置目錄，并編輯csf.conf配置文件：

cd /etc/csf/

vim csf.conf

1.不要阻止csf.allow文件中的IP地址。

默認(rèn)情況下，lfd還將阻止csf.allow文件下的IP，因此如果要使csf.allow文件中的IP不會(huì)被lfd阻止，那么請轉(zhuǎn)到272行并將“IGNORE_ALLOW”更改為“1” 。 當(dāng)您在家中或辦公室中擁有靜態(tài)IP，并希望確保您的IP不會(huì)被Internet服務(wù)器上的防火墻阻止時(shí)，這很有用。

IGNORE_ALLOW = “1”

2.允許進(jìn)出ICMP。

進(jìn)入ping / ICMP的第152行：

ICMP_IN = “1”

和第159行出ping ping / ICMP：

ICMP_OUT = “1”

3.阻止某些國家

CSF提供了使用CIDR （國家代碼）允許和拒絕國家訪問的選項(xiàng)。 轉(zhuǎn)到第836行 ，并添加允許和拒絕的國家代碼：

CC_DENY = “CN,UK,US”

CC_ALLOW = “ID,MY,DE”

4.通過電子郵件發(fā)送Su和SSH登錄日志。

您可以設(shè)置LFD使用的電子郵件地址發(fā)送關(guān)于“ SSH登錄”事件和運(yùn)行“su”命令的用戶的電子郵件，轉(zhuǎn)到第1069行并將值更改為“1”。

LF_SSH_EMAIL_ALERT = “1”

…

LF_SU_EMAIL_ALERT = “1”

然后在588行中定義要使用的電子郵件地址。

LF_ALERT_TO = “mymail@mydomain.tld”

如果您想要更多的調(diào)整，請閱讀“/etc/csf/csf.conf”配置文件中的選項(xiàng)。

結(jié)論

CSF是為Linux服務(wù)器提供的iptables的基于應(yīng)用程序的防火墻。 CSF具有許多功能，可以支持基于網(wǎng)絡(luò)的管理工具，如cPanel / WHM，DirectAdmin和Webmin。 CSF在服務(wù)器上易于安裝和使用，使系統(tǒng)管理員的安全管理更加方便。

文章題目：CentOS7安裝和配置CSF圖文教程
URL標(biāo)題：http://weahome.cn/article/ejcogi.html