ConfigServer Security & Firewall (CSF)：简介、安装与安全最佳实践

ConfigServer Security & Firewall (CSF) 是一个免费且功能强大的 Linux 防火墙，同时也是一个入侵检测系统（IDS）。CSF 为服务器提供强大的安全功能，帮助管理员轻松管理和监控网络流量。它由 ConfigServer 开发，并兼容多种网页控制面板，如 cPanel、DirectAdmin 和 Webmin。

如何安装

要求

• 一台 Linux 服务器。
• root 访问权限。
• 预先安装好 wget、perl 等基本工具。

安装步骤

下载并解压：

Bashwget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf

安装：

Bashsh install.sh

检查所需模块：

Bashperl /usr/local/csf/bin/csftest.pl 如果出现任何错误，请安装相应的依赖包。

切换到生产模式： 打开配置文件 /etc/csf/csf.conf 并将 TESTING = "1" 修改为 TESTING = "0"。

重启服务：

Bashcsf -r

删除安装文件：

Bashcd .. rm -rf csf/ csf.tgz

基本使用指南

基本命令

将 IP 地址添加到白名单：

Bashcsf -a 192.168.1.1 此命令将 IP 地址 192.168.1.1 添加到 /etc/csf/csf.allow 文件中。

阻止 IP 地址（黑名单）：

Bashcsf -d 192.168.1.2 此命令将 IP 地址 192.168.1.2 添加到 /etc/csf/csf.deny 文件中。

取消阻止 IP 地址：

Bashcsf -dr 192.168.1.2

开放端口： 要开放端口，您需要编辑主配置文件 /etc/csf/csf.conf。例如：

Bash# 将端口 80, 443 (HTTP/HTTPS) 和 22 (SSH) 添加到允许列表 TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

限制 SSH 登录： CSF 可以限制 SSH 登录失败的次数。默认情况下，CSF 会在 1 小时内连续 5 次登录失败后阻止 IP。您可以通过 csf.conf 文件中的以下行来更改这些参数：Bash# 启用该功能 LF_SSHD = "1" # 允许的失败次数 LF_SSHD_PERM = "5" # 时间间隔（秒） LF_SSHD_INTERVAL = "3600"

优点评估

• 易于使用： 直观的命令行界面（CLI），并与许多网页控制面板无缝集成。
• 强大的安全功能： 支持多种高级安全功能，例如 DDoS 防护、基于国家的 IP 过滤，以及对 SSH、FTP、SMTP 和其他服务的暴力破解攻击的检测和阻止。
• 免费且定期更新： 作为开源软件，CSF 由社区维护并持续更新，以应对新的威胁。
• 高兼容性： 兼容大多数 Linux 发行版和流行的控制面板。

使用注意事项

• 谨慎配置： 错误的配置可能导致您无法访问自己的服务器。在进行更改之前，请务必备份您的配置文件。
• 测试模式： 安装后，CSF 处于测试模式（TESTING = "1"），以确保服务不会被意外阻止。在切换到生产模式（TESTING = "0"）之前，请仔细检查一切。
• 谨慎使用 LFD (Login Failure Daemon) 功能： LFD 是 CSF 的一部分，它在检测到登录失败时会自动阻止 IP。如果配置不当，它可能会阻止您自己的 IP。

谁应该使用它以及为什么它很受欢迎

• 服务器管理员（sysadmins）： 无论是个人还是企业，CSF 都是保护 Linux 服务器免受网络攻击的重要工具。
• 托管公司： CSF 通常被托管提供商用来保护一个系统上成百上千个客户服务器。

CSF 之所以受欢迎，因为它是一个全面、易于部署且高性价比的解决方案，可以增强 Linux 服务器的安全性。它为抵御常见威胁提供了一个坚实的保护层，让管理员能够专注于其他任务。