هاست لینوکس پرسرعت سی پنل

فایروال CSF چیست ؟

CSF نام یک بستۀ امنیتی برای سرورهای لینوکسی است که راه حل جامعی برای امنیت تقریباً کامل سرور محسوب می شود، در کنار اینکه کار با آن و انجام تنظیماتش بسیار ساده است. CSF سرنام عبارت‌های ConfigServer Security & Firewall می باشد و محصول گروه ConfigServer است. با نصب CSF می توان FirewallD و یا سرویس های Iptables را به طور کامل خاموش و غیرفعال کرد. چون CSF مستقیم خودش از دستورات iptables که روی netfilter سوار است استفاده می کند و حتی در نسخه های جدید CentOS هم به درستی کار خود را انجام می دهد، با اینکه دیگر خبری از سرویس های iptables نیست. اما دستورات iptables هنوز وجود دارند. برای درک بیشتر این موضوع باید مقالۀ مقدمه ای راجع به فایروال لینوکس firewalld را مطالعه کرده باشید. اما در ادامه با قسمت ۹۲ از مجموعه آموزش های مدیریت سرور لینوکس در خدمت شما هستیم.

فایروال CSF چیست

با اینکه آموزش کامل و جامع پیکربندی iptables و همچنین firewalld را تا به اینجا خدمت شما ارائه کردیم، اما پیشنهاد ما یادگیری CSF و کار با آن برای مدیریت فایروال CnetOS است. این فایروال رایگان است و هنوز توسعه دهندگان آن در حال بهبود امکانات آن هستند. قبل از اینکه وارد مبحث کانفیگ CSF شویم، کمی با این سرویس شما را آشنا کنم.

CSF در اصل یک مجموعه اسکریپت است که با دستورات iptables با netfilter که درون هستۀ لینوکس قرار گرفته است و بخش اصلیِ فایروال لینوکس محسوب می شود، ارتباط برقرار می کند. به واسطۀ CSF کار ما برای کار با فایروال بسیار راحت می شود. فرض کنید که خواسته باشیم یک Port (شماره درگاه) را باز کنیم. در این صورت سند پیکیربندیِ CSF را باز می کنیم و عدد درگاه را وارد می‌کنیم. پس از آن سند را ذخیره و CSF را راه اندازی مجدد می‌کنیم. کار تمام است. در اصل بیشتر زمان ما را همین پروندۀ پیکربندیِ CSF با عنوان csf.conf می گیرد که راهنمایی‌های کاملی را درون خود به صورت توضیحات دارد.

از آن بهتر، اگر از کنترل پنل هایی مثل cPanel یا DirectAdmin و یا حتی Webmin استفاده کنید، رابط گرافیکی فایروال هم به کمک ما آمده تا تنظیمات و کار با CSF را به راحتی هر چه تمام تر انجام دهیم. در تصویر بالا نمایی از صفحۀ گرافیکیِ اصلی فایروال را در این کنترل پنل ها نمایش می دهد. با توجه به اینکه سرور شما می تواند یکی از چندین توزیع سیستم عامل لینوکس را روی خود نصب شده داشته باشد، اول باید بدانید که آیا CSF با توزیع و نسخۀ لینوکس شما سازگار است یا خیر.

سیستم عامل هایی که با CSF هماهنگی دارند

  • RedHat Enterprise v5 to v7
  • CentOS v5 to v7
  • CloudLinux v5 to v7
  • Fedora v20 to v26
  • * openSUSE v10, v11, v12
  • * Debian v3.1 – v9
  • * Ubuntu v6 to v15
  • *Slackware v12

* این سیستم عامل‌ها ممکن است برای برخی از عملکردهای CSF نیاز به regex patterns سفارشی داشته باشند.

همانطور که می بینید ۴ سیستم عامل اول بدون هیچ مشکلی با CSF هماهنگی دارند و کار می کنند. اما از آنجایی که ممکن است سرور شما از نوع سرور مجازی باشد، برای اینکه بدانید CSF با نرم افزار مجازی ساز شما هم سازگار است، ادامه را هم ببینید.

مجازی سازهایی که با CSF هماهنگی دارند

  • VMware
  • Xen
  • VirtualBox
  • UML
  • MS Virtual Server
  • KVM
  • ** Virtuozzo
  • ** OpenVZ

** این مجازی سازها نیاز به اندک پیکربندی‌ای در iptables سرور میزبان دارند. در غیر این صورت CSF به درستی کار نخواهد کرد.

مهم ترین ویژگی های CSF

  • یک اسکریپت جامع بر اساس تفتیش بسته های اطلاعاتی (SPI iptables)
  • ردگیری ورودهای POP3/IMAP
  • هشدار ورود به SSH
  • هشدار استفاده از SU
  • مسدودسازی اتصالات مفرط
  • دارای رابط کاربریِ گرافیکی برای کنترل پنل هایcPanel, DirectAdmin و Webmin
  • ارتقاء راحت به نسخۀ جدید با یک کلیک از طریق کنترل پنل ها
  • ارتقاء راحت به نسخۀ جدید از طریق خط فرمان
  • پیکربندی اولیۀ از قبل انجام شده برای سرورهای دارای کنترل پنل cPanel
  • پیکربندی اولیۀ از قبل انجام شده برای سرورهای دارای کنترل پنل DireactAdmin
  • پیکربندیِ اولیه برای درگاه هایی که باید باز شوند
  • مسدودسازی ترافیک برای IP هایی که از آنها استفاده نمی گردد
  • گزارش فعالیت های مشکوک به مدیر سرور
  • گزارش استفاده از منابع بیش از حد توسط کاربر
  • گزارش پرونده های مشکوک، مخصوصاً در مسیر tmp و دیگر مسیرهای مشابه
  • رصد پوشه ها و پرونده ها برای بررسی تغییرات ایجاد شده درون آنها
  • مسدود کردن ترافیک برای فهرست های بلاک از قبیلDShield Block List و Spamhaus DROP List
  • حفاظت در برابر بسته های BOGON
  • پیکربندی از قبل تنظیم شده برای حفاظت های کم، متوسط و زیاد (فقط برای cPanel)
  • امکان کار به صورت هماهنگ با چندین کارت شبکه
  • بررسی اجمالی امنیت سرور و دادن امتیاز به آن به همراه پیشنهادهایی برای رفع عیوب پیش رو
  • امکان آدرس های IP برای DNS های پویا
  • ارسال هشدار در بازه های زمانی که فشار روی سرور (server load) افزایش می یابد
  • بررسی گزارش های mod_security
  • ردگیری ایمیل هایی که در انتظار ارسال هستند و به نظر می‌رسد که منابع زیادی استفاده می‌کنند (فقط سرورهای cPanel)
  • سیستم کشف نفوذ یا IDS که هشدار می‌دهد فایل های باینریِ برنامه ها و سیستم تغییر کردند
  • حفاظت SYN Flood
  • پینگ حفاظت عمیق
  • بررسی اسکن پورت ها و مسدود کردن آنها
  • مسدودسازی IP به صورت دائمی یا موقتی
  • بررسی اکسپلویت
  • بررسیِ ویرایش های حساب های کاربری
  • اطلاع رسانی syslog اشتراکی
  • سرویس پیام رسان؛ نمایش صفحه ای خاص به کاربرانی که دسترسی آنها به سرویس مسدود شده است، برای اطلاع رسانی به آنها
  • مسدودسازی بر اساس کشورهای مختلف
  • حفاظت Port Flooding
  • خوشه بندی lfd، که این اجازه را می‌دهد IP هایی که مسدود می شوند روی یک گروه از سرورها این مسدودی انجام گیرد.
  • محافظت در برابر حمله های ورودهای توزیع یافته ناموفق
  • پشتیبانی از IPv6 با ip6tables
  • رابط کاربری یکپارچه؛ نیازی به کنترل پنل یا وب سرور جداگانه برای پیکربندی CSF ندارید
  • پشتیبانی یکپارچه با cse
  • دسترسی های خاص برای انجام تنظیمات محدود شدۀ CSF به حساب های نمایندگی روی سی پنل
  • آمار و ارقام سیستم، که به صورت گرافیکی فشار روی سرور، میزان مصرف حافظه و پردازنده و … را نشان می دهد.
  • پشتیبانی از ipset برای فهرست های عظیم IP
  • قابلیت یکپارچه سازی با دیوار آتش CloudFlare
  • و موارد دیگر …

Login Failure Daemon (lfd)

lfd که تقریباً یک برنامۀ جداگانه اما همراه با CSF است به جهت جلوگیری از ورودهای غیرمجاز معمولاً چند خط آخر اسناد گزارش های سرویس ها را بررسی می کند و اگر موارد مشکوکی وجود داشت، دسترسی آنها به سرور را مسدود می کند. این کارایی lfd است که تنظیمات آن در کنار دیگر تنظیمات CSF در همان پروندۀ پیکربندی csf.conf موجود است و می توانید آنها را هم بررسی کنید.

این مقدماتی راجع به CSF و همچنین LFD بود که تا اینجا به نظر می رسد کافی باشد. در مرحلۀ بعدی به نحوۀ کار با این فایروال و همچنین پیکربندی و کانفیگ آن می پردازیم. پس همچنان با مقالات آموزشی وبنولوژی همراه باشید تا به مدیر سرور قدرتمند تبدیل شوید.

دیدگاه تان را ارسال کنید.

لطفاً از درج نظرات خارج از موضوع این صفحه خودداری کنید!