如何在 Ubuntu 服务器上安装 ConfigServer 和安全防火墙组合

尽管 Uncomplicated Firewall 是 Ubuntu Server 上一项出色的安全服务，但有时您可能需要更多。但是，如果您没有时间（或没有兴趣）学习高度复杂的 iptables，您可能想要一个介于两者之间的选项。这样的选项是 ConfigServer/Security Firewall 组合，它提供了一个可靠的防火墙解决方案，可以通过附加组件进行扩展，例如登录/入侵检测、漏洞利用检查、死亡保护 ping 等。

我将引导您在 Ubuntu Server 20.04 上安装 CSF。

参见：密码泄露：为什么流行文化和密码不能混用（免费 PDF）（TechRepublic）

你需要什么

为了安装 CSF，您需要一个正在运行的 Ubuntu Server 实例和一个具有 sudo 权限的用户。而已。让我们潜入。

如何在 Ubuntu Server 20.04 上安装 ConfigServer

首先要做的是安装必要的依赖项。登录到您的 Ubuntu 服务器并发出命令：

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip -y

该命令完成后，使用以下命令下载最新版本的 CSF：

wget http://download.configserver.com/csf.tgz

使用以下命令解压缩新下载的 tar 文件：

tar -xvfz csf.tgz

使用以下命令更改到新创建的目录：

cd csf

通过运行包含的脚本来安装 CSF：

sudo bash install.sh

在我们继续之前，让我们确保 iptables 已加载：

sudo perl /usr/local/csf/bin/csftest.pl

你应该看到：

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

如何在 Ubuntu Server 20.04 上配置 CSF

我们已准备好配置 CSF。使用以下命令打开配置文件：

sudo nano /etc/csf/csf.conf

我们必须做的第一件事是更改行：

TESTING = "1"

到 

TESTING = "0"

接下来，我们需要将 rsyslog/syslog 访问限制为特定组的成员。为此，请找到以下行：

RESTRICT_SYSLOG = "0"

将该行更改为：

RESTRICT_SYSLOG = "3"

有趣的来了。向下滚动，直到看到以以下内容开头的行：

TCP_IN

您可以在此处配置允许通过防火墙的端口。默认情况下，CSF 将允许端口 20、21、22、25、53、80、110、143、443、465、587、993 和 995。将该行更改为仅需要为相关服务器打开的端口。

接下来，找到以TCP_OUT、UDP_IN和UDP_OUT 开头的行并执行相同的操作（仅配置要为传入和传出流量打开的端口）。

完成该任务后，保存并关闭文件。 

使用以下命令启动并启用 CSF：

sudo systemctl enable --now csf

如何使用 CSF 阻止和允许 IP 地址

这是 CSF 在竞争中脱颖而出的方式之一。让我向您展示阻止或允许 IP 地址是多么容易。要阻止 IP 地址，请使用以下命令打开拒绝文件：

sudo nano /etc/csf/csf.deny

在该文件的底部，添加要阻止的 IP 地址（每行一个），如下所示：

192.168.1.100192.168.1.101

您还可以像这样阻止整个子网：

192.168.1.0/24

要允许 IP 地址，请使用以下命令打开允许文件：

sudo nano /etc/csf/csf.allow

在该文件中，添加 IP 地址或子网（与拒绝的方式相同），然后保存文件。

最后，您可以设置 CSF 以排除 csf.ignore 文件中的 IP 地址（其配置方式与您配置拒绝和允许文件的方式相同）。

这就是在 Ubuntu Server 上安装和配置 ConfigServer 安全防火墙组合的全部内容。如果您正在为您的服务器寻找功能强大但简单的防火墙，这可能正是您正在寻找的。