latest Post

Cài đặt và cấu hình CSF chống DoS, chống Hack (ConfigServer & Firewall)

Cài đặt và cấu hình CSF chống DoS, chống Hack (ConfigServer & Firewall) 

1. CSF là gì?

- CSF (ConfigServer & Firewall) là 1 gói ứng dụng hoạt động trên Linux như 1 Firewall được phát hành miễn phí để tăng tính bảo mật cho server (VPS và Dedicated). CSF hoạt động dựa trên iptables và tiến trình ldf để quyét các file log để phát hiện các dấu hiệu tấn công bất thường. 
Một số tính năng của CSF:
- Chống DoS 
- Chống Scan Port
- Đưa ra các lời khuyên về việc cấu hình server
- Chống BruteForce Attack vào ftp server, web server, mail server,directadmin,cPanel...
- Chống Syn Flood
- Chống Ping Flood
- Ngăn chặn truy cập từ 1 quốc gia nào đó bằng cách chỉ định Country Code chuẫn ISO
- Hỗ trợ IPv6 và IPv4
- Được phép khóa IP tạm thời và vĩnh viễn ở tầng mạng (An toàn hơn ở tầng ứng dụng ) nên webserver
- Cho phép chuyến hướng yêu cầu từ các IP bị khóa sang 1 file html để thông báo cho người dùng biết IP của họ bị khóa
-Và rất nhiều tính năng khác....

2. Cách cài đặt CSF (ConfigServer & Firewall) 

 - Bước 1: Chuyển vào thư mục /usr/src/ bằng lệnh sau:
[root@server1 src]# cd /usr/src/
- Bước 2: Tải csf về bằng lệnh sau:
[root@server1 src]# wget http://configserver.com/free/csf.tgz
- Sau khi tải về xong, giải nén file vừa tải về bằng lệnh sau:
[root@server1 src]# tar -xvf csf.tgz
- Chuyển vào thư mục vừa giải nén bằng lệnh:
 [root@server1 src]# cd csf
- Tiếp tục chạy file cài đặt bằng lệnh:
[root@server1 csf]# sh install.sh
- Khi thông báo Installation Completed hiện ra tức là đã cài đặt thành công
Bạn gõ lệnh sau để kiểm tra xem server của bạn có đầy đủ các module iptables mà csf cần để hoạt động ko
[root@server1 csf]# perl /etc/csf/csftest.pl 
- Nếu kết quả OK hết thì csf sẽ hoạt động rất tốt
- Nếu trước đây bạn có cài 1 số firewall khác dạng như csf như  APF + BFD,bạn nên gỡ bỏ nó bằng lệnh sau, nếu không, sẽ gây ra 1 sự xung đột

3. Cấu hình CSF?

* Nếu bạn đang cài DirectAdmin hay cPanel, thì sau khi cài CSF trong cPanel hoặc DirectAdmin sẽ có thêm 1 plugin để bạn cấu hình nó.

Tắt chế độ Test Mode trên CSF
 
Sau khi cài đặt CSF thì CSF đã được enable nhưng ở chế độ Test Mode.
Bạn chuyển sang chế độ Active bằng cách sau:
- Login vào DirectAdmin (Tài khoản admin) hoặc cPanel (Tài khoản root)
- Click chọn "ConfigServer Firewall&Security", 
- Chọn tiếp Firewall Configuration
 - Sửa phần TESTING thành 0
- Sau đó bấm change
- Bấm restart csf + ldf để thay đổi cập nhật

* Nếu bạn ko dùng DirectAdmin hoặc cPanel? bạn có thể bỏ test mode bằng cách sau trên SSH bằng lệnh:
 [root@server1 csf]# vi /etc/csf/csf.conf
- Bấm nút I (Nút chữ I trên bàn phím) rồi sửa chỗ TESTING="1" thành TESTING="0"
- Sau đó bạn bấm nút ESC, rồi bấm tiếp :x (dấu 2 chấm và chữ x thường) rồi Enter
Cuối cùng bạn gõ 2 lệnh sau để khởi động lại csf
[root@server1 csf]# csf -r
[root@server1 csf]# csf -q

4. Chuyển đổi qua lại giữa các mức bảo mật của CSF 

Mặc định, CSF có 3 level bảo mật. Bạn có thể chuyển đổi qua lại giữa 3 mức này tùy trường hợp. 

VD: Thấy server đang bị DoS có thể chuyển qua mức cao nhất



- Login vào DirectAdmin (Tài khoản admin) hoặc cPanel (Tài khoản root)

- Click chọn chức năng "ConfigServer Firewall&Security"

- Chọn tiếp mục Firewall Security Level
 
 
 
 
  Ở màn hình tiếp theo bạn chọn 1 trong 3 mức: Low (Thấp), Medium (Trung bình), Hight (Cao)

5. Cách chặn và luôn chấp nhận 1 IP nào đó như thế nào ?


Khi bạn chặn 1 ip trên csf thì IP đó sẽ bị chặn bằng iptables, do đó các kết nối từ ip này gửi đến không thế lên tầng mạng nên sẽ giảm đáng kể 
tài nguyên so với việc chặn bằng .htaccess hay cách khác tương tự.
 
 
Trong 1 số trường hợp bạn cần đưa IP nào đó vào Whitelist (Ví dụ: IP của bạn, IP của người quản trị server) để các IP này luôn được chấp nhận 
kết nối mà không bị chặn nhầm

+ Để chấp nhận 1 IP vào whitelist bạn nhập IP cần ô khoanh đỏ bên dưới rồi bấm "Quick Allow" 

+ Để chặn vĩnh viễn 1 IP, bạn nhập IP cần ô khoanh đỏ bên dưới rồi bấm "Quick Deny"
+ Để cấm tạm thời 1 IP nào đó hay Allow tạm thời 1 IP nào đó bạn có thể làm như hình sau:

Ô thứ nhất: Chọn Block (Cấm) hoặc Allow (Chấp nhận)

Ô thứ 2: IP cần Block hay cần Allow là gì ?

Ô thứ 3: Thời gian cấm hoặc Allow là bao nhiêu ? 


+ Để mở khóa cho 1 IP đang bị cấm bạn nhập IP vào ô đỏ bên dưới rồi bấm "Unblock"

6. Xem danh sách IP bị cấm và danh sách IP được Allow

 Khi xem danh sách, bạn có thể xóa bớt đi rồi bấm change để cập nhật thay đổi. Đối với IP bị cấm, sẽ có lý do bị cấm hiện bên cạnh để bạn dễ theo
 dõi

7. Mở Port trên CSF 

Mặc định, khi cài CSF thì CSF đã kiểm trên trên server của bạn đang chạy những dịch vụ nào thì CSF sẽ mở những port của các dịch đó để người dùng có thể truy cập. Tuy nhiên, sau khi cài bạn thay đổi port của 1 dịch vụ nào đó. Ví dụ thay đổi port của SSH, không dùng port 22 nữa thì sao ?
Nếu bạn ko chỉnh lại trên CSF thì khi bạn không thể truy cập vào SSH bằng port mới mà IP của bạn sẽ bị CSF cấm luôn vì tội Scan Port

Vì vậy, trước khi đổi port 1 dịch vụ nào đó, bạn nên mở port đó trên CSF trước rồi chuyển.

Để mở port, bạn có thể cấu hình trong mục Firewall Configuration
 
 
Sẽ có 2 mục Port setting như trong hình (Mỗi mục có 2 phần là IN và OUT), 1 mục để cấu hình trên IPv4, 1 mục để cấu hình trên IPv6, nếu bạn không dùng IPv6 bạn chỉ việc chỉnh trên vùng Port setting đầu là được.

8. Cấu hình chống DoS và Flood


Mặc định, CSF đã có những thiết lập cho việc này rồi, nhưng bạn cũng có thể chỉnh lại theo ý mình.

Ví dụ: Bạn chỉ nhận 1 gói tin ICMP (Ping) từ 1 IP trong 1 giây thôi thì trong mục Firewall Configuration bạn có thể chỉnh nó 

Tương tự như vậy, còn nhiều phần khác về cấu hình chống Syn Flood, UDP Flood ....

9. Chặn truy cập từ 1 nước nào đó

Bạn có thể chặn truy cập từ 1 trước nào đó thật dễ dàng bằng CSF
Ví dụ, bạn muốn chặn truy cập từ Mỹ, Trung Quốc thì bạn làm như sau:
Vào mục Firewall Configuration như mục 2.1, nhập mã quốc gia (2 ký tự) của 1 nước này vào ô CC_DENY rồi cuộn xuống cuối trang bấm change và restart lại csf và ldf là xong 

10. SPAMHAUS và BOGO?

Đây là 2 tổ chức cập nhật danh sách các IP được coi là Spam và chuyên đi tấn công cho cộng đồng. CSF hỗ trợ tự động cập nhật danh sách các IP 
này và cấm chúng.

Vì vậy mà khi bạn vừa cài CSF xong bạn đã thấy 1 đống IP trong bảng luật của IPtables.

11. Gỡ bỏ CSF

 1/ Nếu server dùng cPanel thì gõ lệnh sau:

cd /etc/csf
sh uninstall.sh
2/ Nếu server dùng DirectAdmin thì gõ lệnh sau:
cd /etc/csf
sh uninstall.directadmin.sh
3/ Trường hợp còn lại thì bạn gõ lệnh sau:

cd /etc/csf
sh uninstall.generic.sh
 vnthuthuat.info

About miniflash

miniflash
Recommended Posts × +

0 comments:

Đăng nhận xét

Recent Comments Widget
loading...