ConfigServer Security Firewall (CSF)是一款基于iptables的防火墙，在后台使用iptables为Linux系统提供高级别的安全防护。四川联想服务器代理

状态包检查（SPI）iptables防火墙非常简单，易于配置，并且通过对Linux服务器的额外检查可以轻松灵活地进行配置和保护。

CSF自带了一个名为Login Failure Daemon(LFD)的服务，它每隔X秒运行一次，定期扫描最新的日志文件条目，寻找登录尝试，如果它在短时间内持续失败，就会屏蔽这些IP。

这些行为通常被称为 暴力攻击。

Csf支持主要的Linux操作系统，如Red Hat Enterprise Linux (RHEL)、CentOS、Fedora、CloudLinux、Ubuntu、Debian、openSUSE和Slackware。

此外，它还支持以下控制面板，如cPanel、CentOS Web Panel (CWP)、DirectAdmin、InterWorx和Webmin。

如果您需要的话，也可以通过几个简单的步骤启用Web UI。

CSF目录结构：

/etc/csf/ - 配置文件

/var/lib/csf/ - 临时数据文件

/usr/local/csf/bin/ - scripts（脚本）。

/usr/local/csf/lib/ - perl模块和静态数据。

/usr/local/csf/tpl/ - 电子邮件警报模板

一、如何在Linux服务器上安装ConfigServer安全和防火墙（CSF）

安装非常简单，请按照以下步骤进行安装。

1、如何在Linux上安装CSF所需的Perl模块？

当你在系统上安装Perl时，大多数Perl模块必须默认安装，但你需要手动安装以下Perl模块。

对于RHEL/CentOS 6/7系统，使用yum命令安装以下Perl模块。

# yum install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph

对于RHEL / CentOS 8和Fedora系统，请使用dnf命令安装以下Perl模块。

# dnf install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph

对于Debian / Ubuntu系统，请使用apt命令或apt-get命令安装以下Perl模块。

# apt-get install libwww-perl liblwp-protocol-https-perl libgd-graph-perl

使用wget命令从以下URL 下载并安装最新的CSF存档源代码。

# cd /usr/src

# wget https://download.configserver.com/csf.tgz

# tar -xzf csf.tgz

# cd csf

# sh install.sh

完成安装后，运行“ csftest.pl”脚本以检查系统是否具有必需的iptable模块。

注意：您不应运行任何其他iptables防火墙配置脚本。例如，如果您以前使用过APF + BFD，则可以通过运行以下脚本将其删除。

# sh /usr/local/csf/bin/remove_apf_bfd.sh

如果您使用的是现代Linux发行版，请使用systemctl命令禁用防火墙服务。

# systemctl stop firewalld

# systemctl disable firewalld

运行以下命令以启用lfd守护程序，否则它将无法启动。为此，您需要使用sed命令将文件“ /etc/csf/csf.conf”中的值“ TESTING = 1”更改为“ TESTING = 0” 。

# sed s/TESTING = 1/TESTING = 0/g /etc/csf/csf.conf

运行以下命令以重新启动CSF防火墙，以使更改生效。您可以使用csf命令轻松管理CSF防火墙。

# csf -r

或者

# csf --restart

默认情况下，这允许在“ TCP_IN和TCP_OUT”中的文件“ /etc/csf/csf.conf”中使用逗号分隔的一组输入和输出端口。您可以根据需要添加/修改它们（如下所示）。

二、如何按来源限制传入连接

此选项配置iptables以防止针对特定端口的DDOS攻击。该选项通过将新的并发连接数限制为可以建立到特定端口的IP地址的方式起作用。

为此，请在“ CONNLIMIT”参数中添加条目。语法为“端口；限制”，您可以添加多个端口，以逗号分隔。

＃vi /etc/csf/csf.conf

CONNLIMIT =“ 22; 5,80; 20”

上面的设置最多只允许5个并发新连接到每个IP地址的端口22，并允许20个并发新连接到IP地址的端口80。

三、如何使用CSF执行/运行自定义iptables规则

CSF提供了“ csfpre.sh”和“ csfpost.sh”脚本，使您可以在csf设置iptables链和规则之前和/或之后运行外部命令。

“ csfpre.sh和csfpost.sh”文件应在“ / usr / local / csf / bin”目录下创建，该目录需要可执行权限。

最后，根据需要将自定义脚本添加到文件中。

四、重要的CSF配置文件列表

以下是控制CSF中大多数规则的重要配置文件。如果手动修改这些文件，则需要重新启动csf，然后再对它们进行lfd才能生效。

csf.conf – 主配置文件，其中包含有用的注释，解释每个选项的作用

csf.allow – 应始终通过防火墙允许的IP地址和CIDR地址的列表

csf.deny – IP和CIDR地址的列表，这些地址永远不应通过防火墙

csf.ignore – lfd应该忽略而不被阻塞的IP和CIDR地址的列表

csf.*ignore – 各种忽略文件，列出lfd应该忽略的文件，用户和IP。查看每个文件的特定用途

五、如何在Linux上卸载CSF和LFD

运行以下脚本，从系统中删除csf和lfd。

＃sh /etc/csf/uninstall.sh

【公司名称】成都鸿盛广达科技有限公司

【代理级别】成都联想服务器总代理

【销售经理】成都鸿盛广达科技有限公司

【联系方式】座机：028-85952921 手机：13981931555

【公司地址】成都市武侯区人民南路四段一号时代数码广场A座17楼