Как установить брандмауэр CSF (ConfigServer Security & Firewall) в Ubuntu 22.4 после окончательного закрытия csf

csf (ConfigServer Security & Firewall) закрыт навсегда

Way to the Web Ltd иConfigserver.comОн был окончательно закрыт 31 августа 2025 года.

Это объявление было впервые опубликовано в нашем блоге и на этом сайте 30 июля 2025 года, чтобы дать нашим клиентам время обновить программное обеспечение или подготовиться к закрытию нашей компании.

Это отключение повлияет на всё наше коммерческое программное обеспечение, включая ConfigServer Vulnerability Scanner (cxs), MailScanner Front End (MSFE) и Outgoing Spam Monitor (osm). Кроме того, это повлияет и на наше бесплатное программное обеспечение, включая ConfigServer Security иБрандмауэр (КСФ), ConfigServer Mail Queue (cmq), ConfigServer Mail Management (cmm), ConfigServer Module Security Control (cmc) и ConfigServer Resource Manager (cse).

С 31 августа 2025 года дальнейшая поддержка, загрузка или лицензирование изменений в правах интеллектуальной собственности осуществляться не будут.

Чтобы продолжить использование любого из наших коммерческих программ после 31 августа, вам необходимо обновить программное обеспечение до последней версии.Если вы не обновите свое программное обеспечение, любой из наших коммерческих программных продуктов перестанет работать и не сможет быть повторно активирован после закрытия серверов загрузки и лицензирования.

Мы выпустили csf (ConfigServer Security & Firewall), cmc (ConfigServer Modsecurity Control для cPanel), cmm (ConfigServer Mail Manage для cPanel), cmq (ConfigServer Mail Queues для cPanel и DirectAdmin) и cse (ConfigServer Explorer для cPanel) под лицензией GPLv3. Эти скрипты теперь доступны на нашем сайте.Репозиторий GitHubсередина.

Установка брандмауэра CSF (ConfigServer Security & Firewall)

существовать Убунту ConfigServer Security & Firewall (CSF) — это мощный инструмент управления межсетевым экраном, разработанный для повышения безопасности сервера. Он не только обеспечивает традиционную функциональность межсетевого экрана, но и интегрирует множество дополнительных мер безопасности и функций мониторинга, что делает его идеальным инструментом для управления серверами Linux. CSF играет ключевую роль в упрощении настройки, предотвращении атак и защите ресурсов сервера и особенно широко используется на серверах веб-сайтов и приложений.

В Ubuntu 22.4 после установки брандмауэра CSF вы можете включить его в CyberPanel!

Основные функции и применение CSF

Управление брандмауэром

Использование спинномозговой жидкости iptables Для управления настройками правил входящего и исходящего трафика. Администраторы могут добавлять, изменять или удалять правила с помощью простых команд, ограничивая доступ к определённым портам и службам для предотвращения несанкционированного доступа.

Настройки поддержкиБелый списокичерный список IP, вы можете разрешить или запретить доступ с определенных IP-адресов, чтобы предотвратить запросы с вредоносных IP-адресов.

Обнаружение и предотвращение вторжений

CSF включает в себя систему обнаружения и предотвращения вторжений (ЛФД - Login Failure Daemon), который обнаруживает и блокирует IP-адреса с многочисленными неудачными попытками входа в систему, чтобы предотвратить попытки подбора пароля.

Он может отслеживать журналы входа в определенные службы (такие как SSH, FTP и т. д.) и немедленно блокировать исходный IP-адрес при обнаружении вредоносного поведения.

Защита от сканирования портов

CSF может идентифицировать и блокировать вредоносные IP-адреса, которые выполняют сканирование портов на сервере, защищая информацию о портах сервера от утечки.

Предотвращение DoS-атак

CSF может обнаруживать необычные всплески трафика или количества подключений, устанавливать ограничения и автоматически блокировать IP-адреса при их обнаружении, чтобы снизить воздействие DoS-атак (отказ в обслуживании).

Обзор безопасности системы

CSF включает в себя базовый инструмент проверки безопасности, который может выявлять распространенные уязвимости безопасности, которые могут существовать в системе Ubuntu, и предоставлять соответствующие рекомендации (например, использует ли SSH порт по умолчанию и т. д.).

Уведомление по электронной почте

CSF может отправлять уведомления по электронной почте при обнаружении аномального поведения сервера (например, множественных неудачных попыток входа в систему, блокировке IP-адреса и т. д.), что позволяет администраторам быстро реагировать.

Правила контроля времени

Правила брандмауэра можно настроить так, чтобы они вступали в силу в определённое время. Например, можно блокировать или разрешать доступ к определённым службам в определённые периоды времени, повышая безопасность и эффективность использования ресурсов.

Применимые сценарии

CSF особенно подходит для следующих сценариев применения:

Веб-серверы и серверы приложений: подходит для сценариев, где требуется защита веб-сайтов и интерфейсов API, и может блокировать нестандартные запросы и вредоносный трафик.
Управление безопасностью SSH: Для серверов, требующих удаленного управления через SSH, CSF может эффективно предотвращать попытки взлома методом подбора паролей.
Ограничить доступ к определенным IP-адресам: используется для разрешения или запрета доступа к серверу определенным странам, регионам или определенным IP-адресам, улучшая региональные политики безопасности.

Как установить CSF

После остановки официального обновления установочный пакет был выложен на GitHub. Вы можете изменить адрес загрузки CSF на адрес загрузки GitHub, чтобы установить его. Единственный недостаток — отсутствие последующих обновлений и обслуживания версий, но в качестве брандмауэра для защиты портов CSF вполне достаточно!

Шаги по установке CSF и включению базовой конфигурации в Ubuntu следующие:

# Установка зависимостей sudo apt update sudo apt install -y perl libwww-perl liblwp-protocol-https-perl # Загрузка CSF wget https://github.com/waytotheweb/scripts/raw/refs/heads/main/csf.tgz tar -xzf csf.tgz cd csf # Запуск скрипта установки sudo bash install.sh # Проверка совместимости сервера с CSF sudo perl /usr/local/csf/bin/csftest.pl

CSF — это комплексный и простой в настройке инструмент управления брандмауэром, подходящий для серверов Ubuntu, которым требуется конфигурация с высоким уровнем безопасности.

После завершения установки вы можете настроить CSF, отредактировав файл /etc/csf/csf.conf и перезапустив брандмауэр с помощью команды csf -r, чтобы настройки вступили в силу.

После установки CSF вы можете настроить его детально, отредактировав файл /etc/csf/csf.conf. Ниже приведены некоторые общие этапы настройки и меры предосторожности:

1. Отредактируйте файл конфигурации CSF.

Откройте CSF с помощью текстового редактора (например, vim или nano) Файл конфигурации:

судо нано /etc/csf/csf.conf
Внутри файла вы можете найти множество параметров конфигурации, вот некоторые ключевые настройки:

Основные настройки
Тестовый режим: После установки CSF по умолчанию находится в тестовом режиме, и правила брандмауэра не вступают в силу.

Перед использованием установите TESTING на 0, чтобы отключить тестовый режим.
ТЕСТИРОВАНИЕ = "0"
Открыть по умолчаниюВходящий порт:

TCP_IN: Установите входящие порты, к которым разрешен доступ (например, порты 80 и 443 для веб-серверов, порт 22 для SSH и т. д.).
TCP_IN = "22,80,443"
TCP_OUT: Установить разрешение на доступИсходящий порт.
TCP_OUT = "80,443,53"
Примечание: Убедитесь, что открытые порты включают порт SSH, в противном случае могут возникнуть проблемы с удаленным подключением.
1.2. Разрешенные/запрещенные IP-адреса
Список разрешений (белый список): укажите IP-адреса, которые могут получить доступ к серверу, в файле csf.allow.

В csf.conf вы можете добавить несколько IP-адресов или IP-сегментов, чтобы указать, что определенным IP-адресам всегда разрешен доступ:
судо нано /etc/csf/csf.allow
Введите разрешенные IP-адреса, по одному в каждой строке, например:

192.168.1.100
203.0.113.0/24
Список заблокированных (черный список): укажите IP-адреса, которым запрещен доступ к серверу в файле csf.deny.

Откройте файл и добавьте IP-адрес:

судо нано /etc/csf/csf.deny
Введите запрещенные IP-адреса, по одному в каждой строке:

192.168.1.101
198.51.100.0/24
1.3. Защита от сбоев входа（Защита от грубой силы)
Настройка защиты от сбоев входа в систему: параметры LF_TRIGGER и LF_SSHD используются для предотвращения попыток подбора пароля.
LF_TRIGGER: Количество неудачных попыток, приведших к срабатыванию блокировки.

LF_TRIGGER = "5"
LF_SSHD: Количество неудачных попыток входа по SSH.

LF_SSHD = "5"
1.4. Предотвращение сканирования портов
Защита от сканирования портов: Настройте защиту от сканирования портов, чтобы предотвратить проверку открытых портов злоумышленниками.

PS_INTERVAL = "300"
PS_LIMIT = "10"

2. Сохраните конфигурацию и перезапустите CSF.

После завершения настройки нажмите Ctrl+X, а затем Y, чтобы сохранить и выйти из файла.

3. Перезапустите CSF и LFD, чтобы изменения вступили в силу.

Перезагрузите конфигурацию CSF с помощью следующей команды:

sudo csf -r
Кроме того, вы можете перезапустить службу LFD (Login Failure Daemon):

sudo systemctl restart lfd

4. Проверьте состояние брандмауэра.

Проверьте состояние работы CSF, чтобы убедиться, что правила применяются правильно:

sudo csf -s # Просмотреть статус правила
sudo csf -l # Отображение состояния брандмауэра

5. Убедитесь, что брандмауэр работает правильно.

Проверить наличие ошибок можно с помощью следующей команды:

sudo csf -e # Включить брандмауэр
sudo csf -x # отключает брандмауэр (для тестирования)
Выполнив указанные выше действия, вы сможете успешно настроить и включить CSF для защиты безопасности вашего сервера Ubuntu.

Сервер CyberPanel выдает 500 ошибок после установки CSF

Обычно это связано с несовместимой конфигурацией брандмауэра или блокировкой критически важных служб. Вот несколько распространённых решений:

1. Проверьте конфигурацию CSF и разрешите необходимые порты.
Убедитесь, что в CSF открыты порты, необходимые CyberPanel, например:
TCP_IN: 8090 (порт панели управления CyberPanel), 80, 443 (HTTP/HTTPS), 21 (FTP), 25, 465, 587 (SMTP), 53 (DNS) и т. д.
Откройте файл конфигурации CSF:
судо нано /etc/csf/csf.conf
Найдите и измените TCP_IN и TCP_OUT, включив указанные выше порты.
2. Перезапустите CSF и LFD.
После изменения конфигурации перезапустите CSF и LFD, чтобы изменения вступили в силу:
sudo csf -r
sudo systemctl restart lfd
3. Проверьте журнал ошибок сервера.
Проверьте журнал ошибок CyberPanel на наличие конкретной информации об ошибке:
tail -f /usr/local/lscp/logs/error.log
4. Тестирование временного отключения CSF
Вы можете временно отключить CSF, чтобы убедиться, что проблема связана с брандмауэром:
судо csf -x
Если после отключения ошибки 500 исчезают, проблема в конфигурации CSF.