CSF が完全に閉じられた後、Ubuntu 22.4 に CSF ファイアウォール (ConfigServer Security & Firewall) をインストールする方法

csf（ConfigServer Security & Firewall）永久关闭

Way to the Web Ltd 和Configserver.com已于 2025 年 8 月 31 日永久关闭。

该公告于 2025 年 7 月 30 日首次在我们的博客和本网站上发布，以便我们的客户有时间更新他们的软件或为我们公司的关闭做好准备。

此次关闭将影响我们所有的商业软件，包括 ConfigServer 漏洞扫描器 (cxs)、MailScanner 前端 (MSFE) 和外发垃圾邮件监控器 (osm)。此外，我们还将影响我们的免费软件，包括 ConfigServer 安全和ファイアウォール (脳脊髄液)、ConfigServer 邮件队列 (cmq)、ConfigServer 邮件管理 (cmm)、ConfigServer 模块安全控制 (cmc) 和 ConfigServer 资源管理器 (cse)。

截至 2025 年 8 月 31 日，不再提供任何支持、下载或许可 IP 更改。 

为了在8月31日之后继续使用我们的任何商业软件，您必须将软件更新至最新版本。如果您未更新软件，一旦下载和许可证服务器关闭，我们的任何商业软件产品都将停止运行，并且无法重新激活。

我们已根据 GPLv3 许可证发布了 csf（ConfigServer Security & Firewall）、cmc（Configserver Modsecurity Control，适用于 cPanel）、cmm（ConfigServer Mail Manage，适用于 cPanel）、cmq（ConfigServer Mail Queues，适用于 cPanel 和 DirectAdmin）以及 cse（ConfigServer Explorer，适用于 cPanel）。这些脚本现已发布在我们的GitHub 仓库真ん中。

CSF ファイアウォール (ConfigServer Security & Firewall) をインストールする

存在する ウブントゥ 上，CSF（ConfigServer Security & Firewall）是一种强大的防火墙管理工具，主要用于增强服务器的安全性。它不仅提供传统的防火墙功能，还集成了许多额外的安全措施和监控功能，适合Linux服务器的管理需求。CSF 在简化配置、防止攻击、保护服务器资源等方面有重要作用，特别是在网站和应用服务器中广泛使用。

Ubuntu 22.4 では、CSF ファイアウォールをインストールした後、CyberPanel で有効にすることができます。

脳脊髄液の主な機能と用途

ファイアウォール管理

脳脊髄液の使用 iptables 受信トラフィックと送信トラフィックのルール設定を管理します。管理者は簡単なコマンドでルールを追加、変更、削除したり、特定のポートやサービスへのアクセスを制限して不正アクセスを防止したりできます。

サポート設定ホワイトリストそしてブラックリスト IP では、悪意のある IP からのリクエストを防ぐために、特定の IP アドレスからのアクセスを許可または拒否できます。

侵入検知と防止

CSFには侵入検知および防止システム（LFD - ログイン失敗デーモンは、複数回のログインに失敗した IP アドレスを検出してブロックし、ブルート フォース攻撃を防止します。

特定のサービス（SSH、FTP など）のログイン ログを監視し、悪意のある動作が検出されると、ソース IP を直ちにブロックできます。

ポートスキャン保護

CSF は、サーバー上でポート スキャンを実行する悪意のある IP を識別してブロックし、サーバーのポート情報の漏洩を防ぎます。

DoS攻撃の防止

CSF は、異常なトラフィックの急増や接続数を検出し、制限を設定し、検出された場合は IP を自動的にブロックして、DoS (サービス拒否) 攻撃の影響を軽減します。

システムセキュリティレビュー

CSF には、Ubuntu システムに存在する可能性のある一般的なセキュリティ脆弱性をチェックし、関連する提案 (SSH がデフォルトのポートを使用しているかどうかなど) を提供できる基本的なセキュリティ チェック ツールが含まれています。

メール通知

CSF は、異常なサーバー動作 (複数のログイン失敗、IP ブロックなど) が検出されると電子メールで通知を送信できるため、管理者は迅速に対応できます。

時間制御ルール

ファイアウォールルールの有効時間の設定をサポートします。例えば、特定の時間帯に特定のサービスへのアクセスをブロックまたは許可することで、セキュリティとリソース利用率を向上させることができます。

適用可能なシナリオ

CSF は、次のようなアプリケーション シナリオに特に適しています。

• Webサーバーとアプリケーションサーバー：WebサイトやAPIインターフェースを保護する必要があるシナリオに適用でき、異常なリクエストや悪意のあるトラフィックをブロックできます。
• SSHセキュリティ管理SSH 経由でリモート管理する必要があるサーバーの場合、CSF はブルート フォース クラッキング攻撃を効果的に防止できます。
• 特定のIPアドレスへのアクセスを制限する: 特定の国、地域、または特定の IP アドレスからのサーバーへのアクセスを許可または禁止し、地域化されたセキュリティ ポリシーを改善するために使用されます。

CSFのインストール方法

官方停更后，将安装包扔在了github上，将下载CSF的地址更改成Github的下载地址即可安装，美中不足的是后续没有版本更新和维护，但是作为一个端口屏蔽防火墙来说，CSF功能已经足够用了！

Ubuntu に CSF をインストールし、基本設定を有効にするには、次の手順に従います。

# 安装依赖
sudo apt update
sudo apt install -y perl libwww-perl liblwp-protocol-https-perl

# 下载 CSF
wget https://github.com/waytotheweb/scripts/raw/refs/heads/main/csf.tgz
tar -xzf csf.tgz
cd csf

# 运行安装脚本
sudo bash install.sh

# 检查服务器是否兼容 CSF
sudo perl /usr/local/csf/bin/csftest.pl

CSF は、高度なセキュリティ構成を必要とする Ubuntu サーバーに適した、フル機能を備え、簡単に構成できるファイアウォール管理ツールです。

インストールが完了したら、/etc/csf/csf.conf ファイルを編集して CSF を構成し、csf -r コマンドでファイアウォールを再起動して構成を有効にします。

CSFをインストールした後、/etc/csf/csf.confファイルを編集することで詳細な設定を行うことができます。以下に、一般的な設定手順と注意事項を示します。

1. CSF設定ファイルを編集する

テキストエディタ（vimやnanoなど）を使用してCSFを開きます。 設定ファイル：

sudo nano /etc/csf/csf.conf
ファイル内には多くの設定オプションがありますが、ここではいくつかの重要な設定を紹介します。

1.1. 基本設定
テストモード: CSF がインストールされると、デフォルトでテスト モードになり、ファイアウォール ルールは有効になりません。

使用する前に、TESTING を 0 に設定してテスト モードを無効にしてください。
テスト = "0"
デフォルトで開く受信ポート：

TCP_IN: アクセスが許可される受信ポートを設定します (Web サーバーのポート 80 と 443、SSH のポート 22 など)。
TCP_IN = "22,80,443"
TCP_OUT: アクセス許可を設定する送信ポート。
TCP_OUT = "80,443,53"
注意: 開いているポートに SSH ポートが含まれていることを確認してください。含まれていない場合、リモート接続で問題が発生する可能性があります。
1.2. 許可/禁止IPアドレス
許可リスト (ホワイト リスト): csf.allow ファイルで、サーバーにアクセスできる IP アドレスを指定します。

csf.conf では、複数の IP アドレスまたは IP セグメントを追加して、特定の IP アドレスからのアクセスが常に許可されるように指定できます。
sudo nano /etc/csf/csf.allow
許可された IP アドレスを 1 行に 1 つずつ入力します。例:

192.168.1.100
203.0.113.0/24
拒否リスト (ブラックリスト): csf.deny ファイルで、サーバーへのアクセスを禁止する IP アドレスを指定します。

ファイルを開いて IP アドレスを追加します。

sudo nano /etc/csf/csf.deny
禁止する IP アドレスを 1 行に 1 つずつ入力します。

192.168.1.101
198.51.100.0/24
1.3. ログイン失敗保護（ブルートフォース攻撃対策）
ログイン失敗保護の構成: LF_TRIGGER および LF_SSHD オプションは、ブルート フォース攻撃を防ぐために使用されます。
LF_TRIGGER: ブロックをトリガーした失敗した試行の数。

LF_TRIGGER = "5"
LF_SSHD: SSH ログイン失敗トリガーの数。

LF_SSHD = "5"
1.4. ポートスキャンの防止
ポートスキャン保護: 悪意のあるユーザーが開いているポートを調べるのを防ぐために、ポート スキャン保護を設定します。

PS_INTERVAL = "300"
PS_LIMIT = "10"

2. 設定を保存し、CSFを再起動します。

設定が完了したら、Ctrl+X を押してから Y を押してファイルを保存し、終了します。

3. 設定を有効にするためにCSFとLFDを再起動します。

次のコマンドを使用して CSF 構成をリロードします。

sudo csf -r
さらに、LFD (ログイン失敗デーモン) サービスを再起動することもできます。

sudo systemctl lfdを再起動します

4. ファイアウォールの状態を確認する

CSF の実行ステータスをチェックして、ルールが正しく適用されていることを確認します。

sudo csf -s # ルールのステータスを表示
sudo csf -l # ファイアウォールの状態を表示する

5. ファイアウォールが正常に動作していることを確認する

次のコマンドを使用してエラーを確認できます。

sudo csf -e # ファイアウォールを有効にする
sudo csf -x # ファイアウォールを無効にする（テスト用）
上記の手順に従うと、CSF を正常に構成して有効にし、Ubuntu サーバーのセキュリティを保護できます。

CSF インストール後の CyberPanel サーバー 500 エラー

これは通常、互換性のないファイアウォール設定、または重要なサービスのブロックに関連しています。一般的な解決策を以下に示します。

1. CSFの設定を確認し、必要なポートを許可する
CyberPanel に必要なポートが CSF で開いていることを確認します。例:
TCP_IN: 8090 (CyberPanel コントロール パネル ポート)、80、443 (HTTP/HTTPS)、21 (FTP)、25、465、587 (SMTP)、53 (DNS) など。
CSF 構成ファイルを開きます。
sudo nano /etc/csf/csf.conf
上記のポートを含めるように TCP_IN と TCP_OUT を見つけて変更します。
2. CSFとLFDを再起動する
設定を変更したら、変更を有効にするために CSF と LFD を再起動します。
sudo csf -r
sudo systemctl lfdを再起動します
3. サーバーのエラーログを確認する
具体的なエラー情報については、CyberPanel エラー ログを確認してください。
tail -f /usr/local/lscp/logs/error.log
4. 脳脊髄液（CSF）の一時的な無効化をテストする
問題がファイアウォールにあるかどうかを確認するために、CSF を一時的に無効にすることができます。
sudo csf -x
無効にした後に 500 エラーが解消された場合、問題は CSF 構成にあります。

CSFをインストールしてCyberPanel Server 500エラーが発生した後に再インストールして有効にする方法