آموزش نصب و کانفیگ CSF

منتشر شده توسط جمال در دستۀ مدیریت سرور لینوکس در ۱۳۹۶/۱۲/۱۰ دیدگاهی ارسال کنید (۰) برو به قسمت نظرها

حال که قسمت قبلی را مطالعه کردید و درک کاملی از CSF به دست آوردید، نوبت به آموزش نصب و کانفیگ CSF می‌رسد. این کار بسیار ساده است. اما شاید آموزش تک تک گزینه های تنظیمی که درون سند پیکربندی CSF قرار گرفتند، کاری زمان بر باشد. هر چند که با مطالعه خطوط راهنما درون این سند، به راحتی می توان فهمید که هر گزینه چه کاری را انجام می‌دهد. پس با قسمت ۹۳ همراه شما هستیم.

آموزش نصب و کانفیگ CSF

قبل از شروع به آموزش نصب CSF باز هم بد نیست که به این موضوع اشاره ای داشته باشم که؛ نصب و پیکربندی فایروال روی سرور لینوکس قبل از اینکه به سراغ تنظیمات سرویس های کاربردی برویم، از اهمیت زیادی برخوردار است. به این دلیل که در تمامی این سرویس ها درگاه یا Port ای باید باز باشد تا سرویس مربوطه بتواند کار خود را به درستی انجام دهد و ما این باز کردنِ درگاه را با فایروال که در اینجا CSF است انجام می دهیم. برای انجام این کار حتماً دسترسی باید از نوع ریشه یا root باشد.

نصب فایروال CSF

csf با perl نوشته شده است. پس در درجۀ اول نیاز است که متعلقات و پیش نیازهای لازم را نصب کنیم. این کار را با دستور yum انجام می دهیم.

yum -y install wget nano perl-libwww-perl.noarch perl-Time-HiRes perl-GDGraph

سپس به مسیر /usr/src رفته و پروندۀ نصبی csf را دانلود می کنیم.

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz

سند را از حالت فشرده خارج می کنیم و اجرایش می کنیم.

tar -xzf csf.tgz
cd csf
sh install.sh

سپس چند خط نتیجه به شما نشان داده می‌شود و عبارت Installation Completed نمایش داده می‌شود که به معنی اتمام مراحل نصب است.

حالا که کار نصب CSF تمام شد، بررسی می کنیم که آیا تمامی ماژول های iptables برای عملکرد صحیح CSF نصب شدند یا خیر.

perl /usr/local/csf/bin/csftest.pl

تا زمانی که این اسکریپت FATAL errors یا خطای اساسی ندهد، باز هم می توانید مراحل زیر را طی کنید و از CSF استفاده کنید. اما در مواردی که از مجازی سازی مثل OpenVZ استفاده کرده باشید و تنظیمات روی سیستم عامل میزبانی به درستی انجام نشده باشد، ممکن است خطای اساسی به شما بدهد که اول باید آن را برطرف نمایید.

اما اگر نتیجۀ زیر در انتهای خطوط به شما نشان داده شد، به این معنا است که CSF روی سرور جاری به درستی و بدون هیچ مشکلی کار خواهد کرد.

RESULT: csf should function on this server

نصب CSF در این مرحله به اتمام می‌رسد. اما اگر روی CentOS 7 در حال کار کردن هستید، بهتر است که firewalld را خاموش و غیرفعال کنید.

systemctl stop firewalld
systemctl disable firewalld

کانفیگ فایروال CSF

کانفیگ یا پیکربندی فایروال CSF بسیار راحت است و شما فقط باید یاد داشته باشید با یک پرونده کار کنید. پس به مسیر زیر می رویم.

cd /etc/csf/

و با دستور nano سند پیکربندی را باز می کنیم.

nano csf.conf

فایروال CSF در ابتدایی که نصب می شود، در حالت آزمون (TESTING) قرار می گیرد. به این معنی که هر تغییری که شما در پیکربندی این فایروال ایجاد می کنید، معمولاً پس از مدت زمان ۵ دقیقه به حالت اول بر می گردد و این به این خاطر است که اگر تنظیمی را اشتباه انجام داده باشید که دسترسی شما یا کاربران دیگر به سرور قطع گردد، به طور خودکار پس از سپری شدن این مدت زمان همه چیز به حالت اول خود برگردد.

اما اگر به صورت کاربردی خواسته باشید از CSF استفاده کنید، باید حالت آزمون رو غیرفعال کنید. برای این کار در خط ۱۱ سند پیکربندی باید عدد جلوی عبارت TESTING را از ۱ به ۰ تغییر دهید.

TESTING = "0"

پس از الان به بعد هر تغییری که روی CSF بدهید دائمی خواهد بود و خود به خود حذف نمی شود.

CSF به صورت خودکار شماره درگاه ۲۲ را برای سرویس SSH درون فایروال باز می کند. اگر شما شمارۀ این درگاه را تغییر داده باشید، باید به خط ۱۳۹ سند پیکربندی آمده و این درگاه را به انتهای گزینۀ تنظیمیِ TCP_IN اضافه نمایید. همچنین برای TCP_OUT هم باید همین کار را بکنید. چون فایروال برای ورودی ها و خروجی ها به طور جداگانه دستوراتی را اعمال می کند.

اگر CSF و در کنار آن LFD با بالا آمدن سرور به صورت خودکار روشن نشدند، باید این کار را با دستور زیر روی CnetOS 7 انجام دهید.

systemctl start csf
systemctl start lfd

systemctl enable csf
systemctl enable lfd

اسناد پیکربندی CSF

کل پرونده های پیکربندی CSF شامل موارد زیر است که هر کدام کارایی خاص خود را دارند.

csf.conf – پروندۀ اصلی پیکربندی است که هر دستور با توضیحاتی کامل روشن شده است.
csf.allow – فهرستی از IP ها که برای فایروال همیشه مجاز شناخته می‌شوند.
csf.deny – فهرستی از IP ها که برای فایروال همیشه غیرمجاز شناخته می‌شوند و مسدود می گردند.
csf.ignore – فهرستی از IP ها که از آنها صرف نظر می شود و اگر مورد مخربی از آنها کشف شد، مسدود نمی شوند.
csf.*ignore – فهرستی از پرونده هایی که هر کدام برای صرف نظر کردن توسط فایروال کاربرد دارند. مثلاً کاربر، پردازش و پرونده ها برخی از این موارد هستند.

هر کدام از اسناد بالا ویرایش شوند، نیاز است که CSF راه اندازی مجدد گردد. اگر از خط فرمان برای این کار استفاده کنید، CSF خودش این کار را انجام می‌دهد. اما در ویرایش های دستی هر پرونده باید دستی Restart نمایید.

دستورات کار با CSF

حالا وقت آن است که با چند تا از دستورات مهم و پر کاربرد CSF که از طریق خط فرمان می توان از آنها استفاده کرد آشنا شویم. دستور اول برای روشن و فعال کردن قواعد دیوار آتش استفاده می شود.

csf -s

برخی از مواقع می خواهیم تمام قواعدی که تعیین کردیم حذف شوند و کلاً همه چیز به حالت اولیه برگردد. اگر از این دستور استفاده کنید، ممکن است حتی دسترسی شما به سرور هم قطع شود. به این دلیل که درگاه های SSH و HTTP هم بسته می شوند. چون به صورت پیش فرض این درگاه ها باز نیستند.

csf -f

قواعد فایروال با دستور زیر بازنشانی مجدد می شوند. یا اصطلاحاً روی فایروال CSF عمل reload را انجام می گیرد.

csf -r

برای مجاز شمردن یک IP و افزودن آن به پروندۀ csf.allow باید از طریق زیر عمل کرد.

csf -a 192.168.1.109

حالا اگر همان IP را خواسته باشیم از csf.allow حذف کنیم این طور باید دستور بزنیم.

csf -ar 192.168.1.109

برای مسدود کردن یک IP و افزودن آن به سند csf.deny

csf -d 192.168.1.109

برای حذف کردن آن از مسدودی های CSF هم دستور زیر

csf -dr 192.168.1.109

اگر خواسته باشید کل مسدودی ها را حذف و تمام IP های مسدود شده در csf.deny را آزاد کنید دستور زیر

csf –df

و برای جستجوی یک IP در بین تمامی قواعد دیوار آتش دستور زیر

csf -g 192.168.1.110

برای اطلاع از کل دستورات CSF قادرید دستور زیر را بزنید و مشخصه ها و توضیحات هر کدام را شاهد باشید.

csf -h

باز و بسته کردن پورت ها در CSF

همانطور که قبلاً هم اشاره شد، هر سرویس با یک شماره درگاهی کار می‌کند. مثلاً وب سرور درگاه ۸۰ را نیاز دارد. که اگر آپاچی را نصب کرده باشید و بدون اینکه این شماره درگاه را باز کنید، صفحات سایت شما برای بازدید کنندگان مشاهده نخواهد شد.

در سند csf.conf در گروه IPv4 Port Settings گزینه های تنظیمی با عنوان TCP_IN و TCP_OUT وجود دارد که تمامی شماره درگاه هایی که باز هستند در آنجا فهرست شدند. شما می توانید آنها را ویرایش کنید. مثلا با افزودن یک , در انتهای این فهرست قبل از اینکه مقدار دستور با علامت “ بسته شود، و عدد ۸۰ را بعد از آن وارد کنید. حالا سند را ذخیره کنید و یک بار CSF را راه اندازی مجدد کنید.

این بود از نصب و کانفیگ اولیه فایروال CSF که امیدوارم به کار شما بیاید. دقت داشته باشید که همانطور که گفته شد، پیکربندی های پیشرفته ای هم این دیوار آتش دارد که لازم است در آینده همراه ما باشید تا آموزش های حرفه ای این دیوار آتش لینوکس را هم درون سایت وبنولوژی منتشر کنیم.

مدیریت سرور لینوکسآموزش پیکربندی سرور لینوکس, فایروال csf, کانفیگ سرور لینوکس

← فایروال CSF چیست ؟

آموزش نصب دیوار آتش CSF روی سروهای OpenVZ →

دیدگاه خود را بنویسید

وبنولوژی

آموزش ساخت، طراحی و نگهداری وب سایت و سرور