Работа с фаерволом CSF LFD

Фаерволы используются для защиты портов в целях безопасности и для разгрузки интернет-канала. Если вы беспокоитесь о защищенности сервера, тогда вам следует установить данное обеспечения. Оно абсолютно бесплатно и подходит для  RedHat, openSUSE, RedHat Enterprise, Debian, CentOS, Ubuntu , Fedora Core и других дистрибутивов Linux. Для начала более детально рассмотрим, что такое CSF и LFD.

CSF  (Config Server Firewall)  - гибкий и популярный пакет безопасности, мультифункциональный фаервол, который работает на основе iptables (утилита коммандной строки), и легко интегрируется со всеми известными панелями управления хостингом. Программное обеспечение предоставляется с открытым программным кодом и настраивается в несколько шагов.

Установка CSF имеет в составе себя панель управления для пользователя, которая доступна по WHM и процесс-демон, который  периодически запускается и сканирует  записи файлов журнала (логи), таким образом ищет попытки входа в систему, которые заканчиваются неудачно в короткий период по времени. Демон реагирует на них очень быстро и блочит IP-адрес. Комплектующим к  CSF есть LFD (Login Failure Daemon) - скрипты, которые анализируют логи для того, чтобы вовремя виявить скрытые атаки. Например, взлом с помощью подбора паролей.

Рассмотрим список базовых параметров запуска (наиболее частые ключи, которые используются):

/usr/sbin/csf

-h Показать справочную информацию;

-f Остановить правила;

-s Запустить правила;

-r Перезагрузить csf;

-g Показать список IP попавшие под правила csf;

-g x.x.x.x - греп по IP;

-t Список временно заблокированных IP;

-t x.x.x.x - греп по списку;

-td x.x.x.x 1d brootforce - временно заблокировать адрес на 1день с комментарием;

-tr Разблокировать временно заблокированный IP;

-a Добавить IP в белый список;

-a x.x.x.x clients IP - добавить IP в белый список с комментарием;

-ar Удалить из белого списка;

-d Добавить IP в черный список;

-d x.x.x.x hacker - Добавить IP в черный список с комментарием;

-dr Разблокировать адрес с черного списка;

-df Разблокировать IP и удалить все записи о нём.

Другие не менее полезные ключи:

-x Отключить полностью csf и все блокировки;

-e Включить csf и все блокировки.

Далее, например, можно проверить есть ли IP 1.2.3.4 в блоке:

/usr/sbin/csf   -g 1.2.3.4

Chain            num   pkts bytes target     prot opt in     out     source               destination

DENYIN           1995     0     0 DROP       all  --  !lo    *       1.2.3.4       0.0.0.0/0

DENYOUT          1995     0     0 DROP       all  --  *      !lo     0.0.0.0/0            1.2.3.4

PREROUTING       3989     0     0 REDIRECT   tcp  --  !lo    *       1.2.3.4       0.0.0.0/0           multiport dports 80,2082,2095 redir ports 8888
PREROUTING       3990     0     0 REDIRECT   tcp  --  !lo    *       1.2.3.4       0.0.0.0/0           multiport dports 21 redir ports 8889

^-------------------- отображаются правила фаервола

csf.deny: 1.2.3.4 # lfd: (ftpd) Failed FTP login from 1.2.3.4 (UA/Ukraine/pool.luga.net.ua): 10 in the last 3600 secs - Wed Jan  8 03:16:40 2014

^-------------------- лог, почему и когда IP был заблокирован

Разблокировать адрес можем командой:

/usr/sbin/csf -df 1.2.3.4

Блокировку адреса можно произвести командой:

/usr/sbin/csf  -d 1.2.3.4

При необходимости добавить адрес в список разрешенных (перед эти нужно удалить из запрещенных)

/usr/sbin/csf -a 1.2.3.4

Развернуть CSF можете на одном из дистрибутивов OS на наших  VPS VDS серверах.

Надеемся эта информация будет Вам полезна и желаем Вам приятной работы!