US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

CSF - защищаем свой сервер или VDS

CSF — защищаем свой сервер или VDS

Фев 25, 2015DmitryНовости

Небольшая предыстория — на одном из нагруженных подшефных сайтов приключилась неприятность. Одна из систем управления контентом не была вовремя обновлена и произошел взлом. К счастью, обошлось без серьезных последствий — вовремя была замечена попытка рассылки спама, найдены загруженные руткиты. Мы также провели небольшое исследование и определили, что управление зараженной машинкой производилось через нестандартные TCP и UDP порты. В этом нет ничего необычного, но нужно было достаточно быстро разрешить ситуацию и далее спокойно делать аудит.

Мы решили в очередной раз попробовать пакет, который называется csf. Собственно, csf состоит из двух основных модулей — lfd (Login Failure Daemon) и csf (ConfigServer Firewall). Первый модуль работает в журнальными файлами сервера и определяет попытки подбора паролей. Собственно csf — утилита, позволяющая более удобно работать с iptables, блокировать неиспользуемые порты, протоколировать попытки подключения ним, добавлять в автоматическом режиме блокировки попытки взлома.

По-умолчанию csf устанавливается в так называемом режиме «тестирования» — устанавливаются основные правила и блокировки, однако автоматически опасные IP не блокируются. Рассмотрим, как производится установка и начальная настройка csf. Официальная документация доступна по адресу download.configserver.com/csf/install.txt, мы же рассмотрим несколько упрощенный вариант.

Итак, загружаем пакет и запускаем инсталлятор:

1
2
3
wget -O - http://www.configserver.com/free/csf.tgz | tar xvzf -
cd csf
sh ./install.sh

Как правило, в современных ОС уже в стандартной поставке есть дополнительные модули, поэтому установка каких-либо дополнительных пакетов не требуется.

Запускаем csf в конфигурации по-умолчанию:

1
service csf start

Перейдем к небольшой настройке. Конфигурационные файлы csf расположены в директории /etc/csf. Обратите внимание на следующие настройки:

csf.allow — укажите в этом файле IP-адреса из «белого списка». Даже при подозрительной активности данные адреса не будут заблокированы. Как правило, в данный файл стоит внести рабочие/домашние IP, адрес VPN-сервера (если используется) и проч.

csf.deny — сюда можно внести IP-адреса, которые следует однозначно и безусловно заблокировать. Если есть такой список — самое место указать его в этом файле. Обратите внимание — csf автоматически удаляет через время адрес из списка блокировки. Чтобы тот или иной адрес был блокирован постоянно, нужно в комментарии указать «do not delete», например:

1
1.2.3.4 # do not delete

csf.conf — общая конфигурация. Это достаточно объемный конфигурационный файл, но хорошо документированный. Стоит обратить внимание на следующие параметры:

  • TCP_IN, TCP_OUT, UDP_IN, UDP_OUT — список разрешенных портов для входящего и исходящего трафика. Как правило, значения по-умолчанию адекватны.
  • TESTING — по-умолчанию включен режим тестировния. После настройки может быть смысл выключить этот режим, что подключит lfd и автоматическую блокировку IP-адресов, производящих подбор паролей.

После изменения конфигурации необходимо перезапустить csf. Это следует делать командой

1
csf -r

Теперь, когда csf запущен и работает, можно наблюдать протоколирование всех подозрительных событий в журнальном файле /var/log/messages. А если необходимо заблокировать какой-либо IP-адрес вручную, то это можно сделать командой

1
csf -d 1.2.3.4

В том случае, если адрес нужно убрать из списка заблокированных, используется ключ -dr:

1
csf -dr 1.2.3.4

Больше примеров и сценариев использования csf есть в официальной документации.

В заключении заметим, что csf и подобные инструменты — это не замена установке обновлений операционной системы и используемых CMS. Следите за своими ресурсами и не забывайте делать резервные копии.

Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← CVE-2015-0235 — новая опасная уязвимость Linux
Обновляем PHP в Centos 6.x →

Recent Posts

  • ITLDC News — December 2022
    ITLDC News — December 2022

    We did not publish updates for November...

  • Let’s start our biggest SALE!
    Let’s start our biggest SALE!

    We will not complicate and publish some...

  • ITLDC News — October 2022
    ITLDC News — October 2022

    It's time to make a brief report on what...

  • Price adjustments for selected services
    Price adjustments for selected services

    Since the autumn of last year, the price...

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.