ConfigServer Security & Firewall (hay CSF) là một firewall rất phổ biến và hiệu quả được sử dụng trên các server Linux hiện nay. Bên cạnh những tính năng cơ bản như một firewall, CSF còn có những chức năng bảo mật nâng cao khác như ngăn chặn flood login, port scans, SYN floods…

Chi tiết các tính năng của CSF các bạn có thể xem ở đây.

Hướng dẫn cài đặt CSF

Installing CSF Firewall

1. Cài đặt các module cần thiết cho CSF

Cài đặt module Perl cho CSF script

yum install perl-libwww-perl

2. Tải CSF

cd /tmp
wget https://download.configserver.com/csf.tgz

3. Cài đặt CSF

Tiến hành giải nén và cài đặt CSF

tar -xzf csf.tgz
cd csf
sh install.sh

4. Cấu hình CSF

Mặc định thì script trên sẽ cài đặt và chạy CSF ở chế độ “Testing”, có nghĩa là server lúc này chưa được bảo vệ toàn diện. Để tắt chế độ “Testing” bạn cần cấu hình các lựa chọn TCP_IN, TCP_OUT, UDP_IN và UDP_OUT cho phù hợp với nhu cầu .

Mở file cấu hình CSF

nano /etc/csf/csf.conf

Chỉnh sửa các thông số cho phù hợp

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123"

Khi đã cấu hình xong, tắt chế độ Testing bằng cách chuyển TESTING = “1” thành TESTING = “0”

TESTING = "0"

Cuối cùng lưu lại file cấu hình CSF

5. Khởi động CSF

Chạy CSF và cho phép tự kích hoạt mỗi khi boot VPS

chkconfig --level 235 csf on
service csf restart

6. Những file cấu hình CSF

Toàn bộ thông tin cấu hình và quản lý CSF được lưu ở các file trong folder /etc/csf. Nếu bạn chỉnh sửa các file này thì cần khởi động lại CSF để thay đổi có hiệu lực.

  • csf.conf : File cấu hình chính để quản lý CSF.
  • csf.allow : Danh sách địa chỉ IP cho phép qua firewall.
  • csf.deny : Danh sách địa chỉ IP từ chối qua firewall.
  • csf.ignore : Danh sách địa chỉ IP cho phép qua firewall và không bị block nếu có vấn đề.
  • csf.*ignore : Danh sách user, IP được ignore.

7. Một số lệnh thường dùng

Một số câu lệnh sử dụng để add (-a) hoặc deny (-d) một địa chỉ IP.

csf -d IPADDRESS //Block địa chỉ IP
csf -dr IPADDRESS //Xóa địa chỉ IP đã bị block
csf -a IPADDRESS //Allow địa chỉ IP
csf -ar IPADDRESS //Xóa địa chỉ IP đã được allow
csf -g IPADDRESS //Kiểm tra địa chỉ IP có bị block không
csf -r //Khởi động lại CSF
csf -x //Tắt CSF
csf -e //Mở CSF

Trong trường hợp bạn quên những lệnh trên, hãy sử dụng csf sẽ liệt kê toàn bộ danh sách các option.

8. Xóa CSF

Nếu bạn muốn xóa hoàn toàn CSF, chỉ cần sử dụng script sau:

/etc/csf/uninstall.sh

Việc này sẽ xóa toàn bộ CSF nên bạn cần cân nhắc khi dùng. Nếu muốn tạm thời tắt CSF thì có thể chuyển chế độ TESTING sang 1.

Trên đây là hướng dẫn căn bản cài đặt ConfigServer Security & Firewall (CSF), xem thêm bài viết hướng dẫn cài đặt nâng cao bảo mật hơn cho VPS/server.

66 Comments

  1. gà mờ 1 comment

    Những lệnh đó ( ví dụ: nano /etc/csf/csf.conf ) làm trên run cmd hả bạn

  2. Giang 1 comment

    Sau khi caì xong, em thử chặn 1 ip thì nó báo thế này :

    csf -d 116.100.217.200
    deny failed: 116.100.217.200 is in already in the deny file /etc/csf/csf.deny 1 times
    root@ubuntu:~# csf -d 116.100.217.199
    Adding 116.100.217.199 to csf.deny and iptables DROP…
    iptables: No chain/target/match by that name.
    DROP all opt — in !lo out * 116.100.217.199 -> 0.0.0.0/0
    iptables v1.4.12: Couldn’t load target `LOGDROPOUT’:No such file or directory

    Try `iptables -h’ or ‘iptables –help’ for more information.
    ————————————————-

    Em test perl thì nó báo thế này :

    Testing ip_tables/iptable_filter…OK
    Testing ipt_LOG…OK
    Testing ipt_multiport/xt_multiport…OK
    Testing ipt_REJECT…OK
    Testing ipt_state/xt_state…OK
    Testing ipt_limit/xt_limit…OK
    Testing ipt_recent…OK
    Testing xt_connlimit…OK
    Testing ipt_owner/xt_owner…OK
    Testing iptable_nat/ipt_REDIRECT…OK
    Testing iptable_nat/ipt_DNAT…OK

    . Mong anh giúp 🙁

    1. Luân Trần Admin

      Lỗi này mình không giúp được rồi, bạn phải tự tìm thông tin trên mạng thôi

  3. Tee 3 comment

    Luân viết bài chính xác quá. Cài cái là được luôn. Chân thành cảm ơn nhé. Hi vọng luôn tiếp tục viết chia sẻ kiến thức về VPS.
    Chia sẻ: Hiện tại mình đang sử dụng VPS centos 7 x64 Vultr đã cài đặt thành công, Bạn nào đang xài giống mình thì cứ thoải mái mà cài nhé.

    1. Việt Phương Moderator

      csf -dr IPADDRESS //Xóa địa chỉ IP đã bị block
      csf -g IPADDRESS //Kiểm tra địa chỉ IP có bị block không
      Trong bài viết phần 7. có đề cập đó bạn.

        1. Việt Phương Moderator

          -df nhé bạn. Tương tự với việc bạn xóa thủ công trong /etc/csf/csf.deny

  4. Nguyễn Văn Chiến 1 comment

    Mình cài xong thì ko kết nối đc ssh luôn, giờ phải làm sao đây bạn. Mình xài vps của Vultr , centos 7. Help me!

    1. Việt Phương Moderator

      Có thể bạn cài xung đột rồi, nhất là khi iptables là cổng SSH 2222 còn CSF bạn không allow cổng 2222. Bạn login VPS trên trang quản lý để disable CSF

  5. sinhle 70 comment

    chào Ad và mn,
    VPS mình có vẻ đang chặn IP google. làm robot không index được link tự động.
    Mình có tìm hiểu có thể vps chặn ip google.
    Nhờ ae chỉ các đưa ip google vào danh sách loại trừ để google tự index bài.
    cảm ơn

    1. Việt Phương Moderator

      Bạn kiểm tra các tường lửa của VPS như csf, firewalld, iptables. Ngoài ra còn cấu hình của Virtual Host như Nginx/Apache conf, .htaccess cũng có thể chặn bot

Comment của bạn

Your email address will not be published. Required fields are marked *