CSF が完全に終了した後、Ubuntu 22.4 に CSF ファイアウォール (ConfigServer Security & Firewall) をインストールする方法

csf (ConfigServer Security & Firewall) は永久に閉鎖されました

Way to the Web LtdおよびConfigserver.com2025年8月31日に閉店しました。

このお知らせは、お客様にソフトウェアを更新したり、当社の閉鎖に備える時間を与えるために、2025 年 7 月 30 日に当社のブログとこの Web サイトで最初に公開されました。

このサービス停止は、ConfigServer脆弱性スキャナ（cxs）、MailScannerフロントエンド（MSFE）、Outgoing Spam Monitor（osm）を含むすべての商用ソフトウェアに影響します。さらに、ConfigServerセキュリティとファイアウォール (脳脊髄液）、ConfigServer メールキュー (cmq)、ConfigServer メール管理 (cmm)、ConfigServer モジュールセキュリティコントロール (cmc)、および ConfigServer リソースマネージャ (cse) です。

2025 年 8 月 31 日をもって、サポート、ダウンロード、ライセンス IP の変更は提供されなくなります。

8 月 31 日以降も弊社の商用ソフトウェアを引き続き使用するには、ソフトウェアを最新バージョンに更新する必要があります。ソフトウェアを更新しないと、ダウンロードサーバーとライセンスサーバーがシャットダウンされると、当社の商用ソフトウェア製品はすべて動作しなくなり、再アクティブ化できなくなります。

csf (ConfigServer Security & Firewall)、cmc (Configserver Modsecurity Control、cPanel用)、cmm (ConfigServer Mail Manage、cPanel用)、cmq (ConfigServer Mail Queues、cPanelおよびDirectAdmin用)、cse (ConfigServer Explorer、cPanel用) をGPLv3ライセンスでリリースしました。これらのスクリプトは、現在、当社のGitHubリポジトリ真ん中。

CSF ファイアウォール (ConfigServer Security & Firewall) をインストールする

存在するウブントゥ ConfigServer Security & Firewall（CSF）は、サーバーセキュリティを強化するために設計された強力なファイアウォール管理ツールです。従来のファイアウォール機能に加え、多数の追加のセキュリティ対策と監視機能を統合しているため、Linuxサーバー管理に最適です。CSFは、設定の簡素化、攻撃の防止、サーバーリソースの保護において重要な役割を果たし、特にウェブサイトサーバーやアプリケーションサーバーで広く利用されています。

Ubuntu 22.4 では、CSF ファイアウォールをインストールした後、CyberPanel で有効にすることができます。

脳脊髄液の主な機能と用途

ファイアウォール管理

脳脊髄液の使用 iptables 受信トラフィックと送信トラフィックのルール設定を管理します。管理者は簡単なコマンドでルールを追加、変更、削除したり、特定のポートやサービスへのアクセスを制限して不正アクセスを防止したりできます。

サポート設定ホワイトリストそしてブラックリスト IP では、悪意のある IP からのリクエストを防ぐために、特定の IP アドレスからのアクセスを許可または拒否できます。

侵入検知と防止

CSFには侵入検知および防止システム（LFD - ログイン失敗デーモンは、複数回のログインに失敗した IP アドレスを検出してブロックし、ブルートフォース攻撃を防止します。

特定のサービス（SSH、FTP など）のログインログを監視し、悪意のある動作が検出されると、ソース IP を直ちにブロックできます。

ポートスキャン保護

CSF は、サーバー上でポートスキャンを実行する悪意のある IP を識別してブロックし、サーバーのポート情報の漏洩を防ぎます。

DoS攻撃の防止

CSF は、異常なトラフィックの急増や接続数を検出し、制限を設定し、検出された場合は IP を自動的にブロックして、DoS (サービス拒否) 攻撃の影響を軽減します。

システムセキュリティレビュー

CSF には、Ubuntu システムに存在する可能性のある一般的なセキュリティ脆弱性をチェックし、関連する提案 (SSH がデフォルトのポートを使用しているかどうかなど) を提供できる基本的なセキュリティチェックツールが含まれています。

メール通知

CSF は、異常なサーバー動作 (複数のログイン失敗、IP ブロックなど) が検出されると電子メールで通知を送信できるため、管理者は迅速に対応できます。

時間制御ルール

ファイアウォールルールの有効時間の設定をサポートします。例えば、特定の時間帯に特定のサービスへのアクセスをブロックまたは許可することで、セキュリティとリソース利用率を向上させることができます。

適用可能なシナリオ

CSF は、次のようなアプリケーションシナリオに特に適しています。

Webサーバーとアプリケーションサーバー：WebサイトやAPIインターフェースを保護する必要があるシナリオに適用でき、異常なリクエストや悪意のあるトラフィックをブロックできます。
SSHセキュリティ管理SSH 経由でリモート管理する必要があるサーバーの場合、CSF はブルートフォースクラッキング攻撃を効果的に防止できます。
特定のIPアドレスへのアクセスを制限する: 特定の国、地域、または特定の IP アドレスからのサーバーへのアクセスを許可または禁止し、地域化されたセキュリティポリシーを改善するために使用されます。

CSFのインストール方法

公式アップデートが停止した後、インストールパッケージがgithubに公開されました。CSFのダウンロードアドレスをgithubのダウンロードアドレスに変更してインストールできます。唯一の欠点は、その後のバージョンアップやメンテナンスが行われないことですが、ポートシールドファイアウォールとしてはCSFの機能は十分です。

Ubuntu に CSF をインストールし、基本設定を有効にするには、次の手順に従います。

# 依存関係をインストールします sudo apt update sudo apt install -y perl libwww-perl liblwp-protocol-https-perl # CSF をダウンロードします wget https://github.com/waytotheweb/scripts/raw/refs/heads/main/csf.tgz tar -xzf csf.tgz cd csf # インストール スクリプトを実行します sudo bash install.sh # サーバーが CSF と互換性があるかどうかを確認します sudo perl /usr/local/csf/bin/csftest.pl

CSF は、高度なセキュリティ構成を必要とする Ubuntu サーバーに適した、フル機能を備え、簡単に構成できるファイアウォール管理ツールです。

インストールが完了したら、/etc/csf/csf.conf ファイルを編集して CSF を構成し、csf -r コマンドでファイアウォールを再起動して構成を有効にします。

CSFをインストールした後、/etc/csf/csf.confファイルを編集することで詳細な設定を行うことができます。以下に、一般的な設定手順と注意事項を示します。

1. CSF設定ファイルを編集する

テキストエディタ（vimやnanoなど）を使用してCSFを開きます。設定ファイル：

sudo nano /etc/csf/csf.conf
ファイル内には多くの設定オプションがありますが、ここではいくつかの重要な設定を紹介します。

1.1. 基本設定
テストモード: CSF がインストールされると、デフォルトでテストモードになり、ファイアウォールルールは有効になりません。

使用する前に、TESTING を 0 に設定してテストモードを無効にしてください。
テスト = "0"
デフォルトで開く受信ポート：

TCP_IN: アクセスが許可される受信ポートを設定します (Web サーバーのポート 80 と 443、SSH のポート 22 など)。
TCP_IN = "22,80,443"
TCP_OUT: アクセス許可を設定する送信ポート。
TCP_OUT = "80,443,53"
注意: 開いているポートに SSH ポートが含まれていることを確認してください。含まれていない場合、リモート接続で問題が発生する可能性があります。
1.2. 許可/禁止IPアドレス
許可リスト (ホワイトリスト): csf.allow ファイルで、サーバーにアクセスできる IP アドレスを指定します。

csf.conf では、複数の IP アドレスまたは IP セグメントを追加して、特定の IP アドレスからのアクセスが常に許可されるように指定できます。
sudo nano /etc/csf/csf.allow
許可された IP アドレスを 1 行に 1 つずつ入力します。例:

192.168.1.100
203.0.113.0/24
拒否リスト (ブラックリスト): csf.deny ファイルで、サーバーへのアクセスを禁止する IP アドレスを指定します。

ファイルを開いて IP アドレスを追加します。

sudo nano /etc/csf/csf.deny
禁止する IP アドレスを 1 行に 1 つずつ入力します。

192.168.1.101
198.51.100.0/24
1.3. ログイン失敗保護（ブルートフォース攻撃対策）
ログイン失敗保護の構成: LF_TRIGGER および LF_SSHD オプションは、ブルートフォース攻撃を防ぐために使用されます。
LF_TRIGGER: ブロックをトリガーした失敗した試行の数。

LF_TRIGGER = "5"
LF_SSHD: SSH ログイン失敗トリガーの数。

LF_SSHD = "5"
1.4. ポートスキャンの防止
ポートスキャン保護: 悪意のあるユーザーが開いているポートを調べるのを防ぐために、ポートスキャン保護を設定します。

PS_INTERVAL = "300"
PS_LIMIT = "10"

2. 設定を保存し、CSFを再起動します。

設定が完了したら、Ctrl+X を押してから Y を押してファイルを保存し、終了します。

3. 設定を有効にするためにCSFとLFDを再起動します。

次のコマンドを使用して CSF 構成をリロードします。

sudo csf -r
さらに、LFD (ログイン失敗デーモン) サービスを再起動することもできます。

sudo systemctl lfdを再起動します

4. ファイアウォールの状態を確認する

CSF の実行ステータスをチェックして、ルールが正しく適用されていることを確認します。

sudo csf -s # ルールのステータスを表示
sudo csf -l # ファイアウォールの状態を表示する

5. ファイアウォールが正常に動作していることを確認する

次のコマンドを使用してエラーを確認できます。

sudo csf -e # ファイアウォールを有効にする
sudo csf -x # ファイアウォールを無効にする（テスト用）
上記の手順に従うと、CSF を正常に構成して有効にし、Ubuntu サーバーのセキュリティを保護できます。

CSF インストール後の CyberPanel サーバー 500 エラー

これは通常、互換性のないファイアウォール設定、または重要なサービスのブロックに関連しています。一般的な解決策を以下に示します。

1. CSFの設定を確認し、必要なポートを許可する
CyberPanel に必要なポートが CSF で開いていることを確認します。例:
TCP_IN: 8090 (CyberPanel コントロールパネルポート)、80、443 (HTTP/HTTPS)、21 (FTP)、25、465、587 (SMTP)、53 (DNS) など。
CSF 構成ファイルを開きます。
sudo nano /etc/csf/csf.conf
上記のポートを含めるように TCP_IN と TCP_OUT を見つけて変更します。
2. CSFとLFDを再起動する
設定を変更したら、変更を有効にするために CSF と LFD を再起動します。
sudo csf -r
sudo systemctl lfdを再起動します
3. サーバーのエラーログを確認する
具体的なエラー情報については、CyberPanel エラーログを確認してください。
tail -f /usr/local/lscp/logs/error.log
4. 脳脊髄液（CSF）の一時的な無効化をテストする
問題がファイアウォールにあるかどうかを確認するために、CSF を一時的に無効にすることができます。
sudo csf -x
無効にした後に 500 エラーが解消された場合、問題は CSF 構成にあります。