Recherche de site Web

Comment installer le pare-feu du serveur de configuration (CSF) sur Debian/Ubuntu

ConfigServer et Security Firewall, en abrégé CSF, sont un pare-feu open source et avancé conçu pour les systèmes Linux. Il fournit non seulement les fonctionnalités de base d'un pare-feu, mais offre également un large éventail de fonctionnalités complémentaires telles que la détection de connexion/intrusion, les contrôles d'exploit, la protection contre la mort par ping et bien plus encore.

De plus, il fournit également une intégration d'interface utilisateur pour les panneaux de contrôle largement utilisés tels que cPanel, Webmin, Vesta CP, CyberPanel et DirectAdmin. Vous pouvez trouver une liste complète des fonctionnalités et des systèmes d’exploitation pris en charge sur le site officiel de ConfigServer.

Dans ce guide, nous vous guiderons à travers l'installation et la configuration de ConfigServer Security & Firewall (CSF) sur Debian et Ubuntu. .

Étape 1 : Installez le pare-feu CSF sur Debian et Ubuntu

Tout d'abord, vous devez installer certaines dépendances avant de commencer à installer le pare-feu CSF. Sur votre terminal, mettez à jour l'index du package :

sudo apt update

Ensuite, installez les dépendances comme indiqué :

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Ceci étant réglé, vous pouvez maintenant passer à l’étape suivante.

Étant donné que CSF n'est pas inclus dans les dépôts Debian et Ubuntu par défaut, vous devez l'installer manuellement. Pour continuer, téléchargez le fichier tarball CSF qui contient tous les fichiers d'installation à l'aide de la commande wget suivante.

wget http://download.configserver.com/csf.tgz

Cela télécharge un fichier compressé appelé csf.tgz.

Ensuite, extrayez le fichier compressé.

tar -xvzf csf.tgz

Cela crée un dossier appelé csf.

ls -l

Ensuite, accédez au dossier csf.

cd csf

Installez ensuite le pare-feu CSF en exécutant le script d'installation affiché.

sudo bash install.sh

Si tout s'est bien passé, vous devriez obtenir le résultat comme indiqué.

À ce stade, CSF est installé. Cependant, vous devez vérifier que les iptables requis sont chargés. Pour y parvenir, exécutez la commande :

sudo perl /usr/local/csf/bin/csftest.pl

Étape 2 : configurer le pare-feu CSF sur Debian et Ubuntu

Une configuration supplémentaire est nécessaire. Ensuite, nous devons modifier quelques paramètres pour activer CSF. Alors, rendez-vous sur le fichier de configuration csf.conf.

sudo nano /etc/csf/csf.conf

Modifiez la directive TESTING de « 1 » à « 0 » comme indiqué ci-dessous.

TESTING = "0"

Ensuite, définissez la directive RESTRICT_SYSLOG sur « 3 » pour restreindre l'accès rsyslog/syslog uniquement aux membres du RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Ensuite, vous pouvez ouvrir les ports TCP et UDP en localisant TCP_IN, TCP_OUT, UDP_IN,< et UDP_OUT.

Par défaut, les ports suivants sont ouverts.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Il est probable que vous n'ayez pas besoin d'ouvrir tous ces ports, et les meilleures pratiques en matière de serveur exigent que vous ouvriez uniquement les ports que vous utilisez. Nous vous recommandons de supprimer tous les ports inutiles et de conserver ceux qui sont utilisés par les services exécutés sur votre système.

Une fois que vous avez fini de spécifier les ports dont vous avez besoin, rechargez CSF comme indiqué.

sudo csf -r

Pour lister toutes les règles de table IP définies sur le serveur, exécutez la commande :

sudo csf -l

Vous pouvez démarrer et activer le pare-feu CSF au démarrage comme suit :

sudo systemctl start csf
sudo systemctl enable csf

Confirmez ensuite que bien le pare-feu fonctionne :

sudo systemctl status csf

Étape 3 : bloquer et autoriser les adresses IP dans le pare-feu CSF

L'une des fonctionnalités clés d'un pare-feu est la possibilité d'autoriser ou de bloquer l'accès des adresses IP au serveur. Avec CSF, vous pouvez mettre sur liste blanche (autoriser), mettre sur liste noire (refuser) ou ignorer les adresses IP en modifiant les fichiers de configuration suivants :

  • csf.autoriser
  • csf.deny
  • csf.ignorer

Bloquer une adresse IP dans CSF

Pour bloquer une adresse IP, accédez simplement au fichier de configuration csf.deny.

sudo nano /etc/csf/csf.deny

Précisez ensuite les adresses IP que vous souhaitez bloquer. Vous pouvez spécifier les adresses IP ligne par ligne comme indiqué :

192.168.100.50
192.168.100.120

Vous pouvez également utiliser la notation CIDR pour bloquer l'intégralité d'un sous-réseau.

192.168.100.0/24

Autoriser une adresse IP dans CSF

Pour autoriser une adresse IP via Iptables et l'exclure de tous les filtres ou blocs, modifiez le fichier de configuration csf.allow.

sudo nano /etc/csf/csf.allow

Vous pouvez lister une adresse IP par ligne, ou utiliser l'adressage CIDR comme démontré précédemment lors du blocage des IP.

REMARQUE : Une adresse IP sera autorisée même si elle est explicitement définie dans le fichier de configuration csf.deny. Pour vous assurer qu'une adresse IP est bloquée ou sur liste noire, assurez-vous qu'elle n'est pas répertoriée dans le fichier csf.allow.

Exclure une adresse IP dans CSF

De plus, CSF vous offre la possibilité d'exclure une adresse IP des tables IP ou des filtres. Toute adresse IP dans le fichier csf.ignore sera exemptée des filtres iptables. Il ne peut être bloqué que s'il est spécifié dans le fichier csf.deny.

Pour exempter une adresse IP des filtres, accédez au fichier csf.ignore.

sudo nano /etc/csf/csf.ignore

Encore une fois, vous pouvez lister les IP ligne par ligne ou utiliser la notation CIDR.

Conclusion

Et cela conclut notre guide d’aujourd’hui. Nous espérons que vous pourrez désormais installer et configurer le pare-feu CSF sans problème.