Установка CSF на VPS с CentOS

ConfigServer Security Firewall (или просто CSF) – это отличный софт для автоматизации защиты на сервере. Утилита получила популярность благодаря своим обширным возможностям и гибкой системе настроек “под себя”.

Отлично работает как с панелями управления хостингом, так и без них. CSF совместима с Cpanel, DirectAdmin и Webmin. Однако, это не замена стандартному фаерволу, а скорее его дополнение (все правила передаются на iptables). Полное описание всех возможностей и настроек этого брандмауэра можно прочитать на сайте авторов. Мы же расскажем как грамотно установить и сделать первичные настройки, а также дадим несколько советов по использованию.

Итак…
Перед началом установки, убедитесь что у вас установлена библиотека libwww-perl. Если её нет, то установите:

yum install libwww-perl

Установка
1)

wget http://www.configserver.com/free/csf.tgz
tar xfz csf.tgz
cd csf
./install.sh

Если вы сами являетесь владельцем OpenVZ ноды, то есть основного физического сервера, на котором и работают VDS, то нужно предпринять следующие шаги.
1. Сначала на основном сервере в файле /etc/sysconfig/iptables-config изменить переменную IPTABLES_MODULES. Обычно она выглядит вот так:
IPTABLES_MODULES=""


А поменять ее нужно на такую:
IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
и перезагрузить службу iptables:
service iptables restart


Следующим шагом будет редактирование файла /etc/sysconfig/vz на основном сервере(ноде)
меняем переменную IPTABLES на:
IPTABLES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"
После чего перезагружаем все VDS командой:
service vz restart

Открываем на физике файл

/etc/rc.local
и прописываем модули
modprobe ip_nat
modprobe iptable_nat
modprobe ipt_REDIRECT
modprobe ip_tables
modprobe iptable_filter
modprobe ipt_LOG
modprobe ipt_multiport
modprobe xt_multiport
modprobe ipt_REJECT
modprobe ipt_state
modprobe xt_state
modprobe ipt_limit
modprobe xt_limit
modprobe ipt_owner
modprobe ipt_recent
modprobe xt_string
modprobe xt_connlimit

2. Запустить скрипт для проверки необходимых модулей в iptables:

# perl /etc/csf/csftest.pl
Testing ip_tables/iptable_filter…OK
Testing ipt_LOG…OK
Testing ipt_multiport/xt_multiport…OK
Testing ipt_REJECT…OK
Testing ipt_state/xt_state…OK
Testing ipt_limit/xt_limit…OK
Testing ipt_recent…OK
Testing ipt_owner…OK
Testing iptable_nat/ipt_REDIRECT…OK
RESULT: csf should function on this server

Разработчики OpenVZ также рекомендуют увеличить значение numiptent для VDS. Это значение лимитирует суммарное количество правил которые могут использоваться данным VDS. Поэтому разработчики OpenVZ рекомендуют устанавливать значение numiptent около 400 следующей командой:

vzctl set 100 --numiptent 400 --save

где 100 — номер VDS для которого это значение устанавливается.

UPD:

в CentOS 7+ дополнительно нужно установить пакет net-tools:

yum install net-tools
Записи созданы 33

2 коментария “Установка CSF на VPS с CentOS

  1. Спасибо большое.
    Но у меня вот нет /etc/sysconfig/vz.
    У меня centos на vps на http://www.rusonyx.ru
    Parallels Plesk Panel v11.0.9 os_CentOS 5
    И все модули кроме
    Testing ip_tables/iptable_filter…OK
    Testing ipt_REJECT…OK
    Fatal Error/
    Все кроме пункта «Следующим шагом будет редактирование файла /etc/sysconfig/vz ..»
    Делал. Не помогло.
    Хелп ми плизззз?

    1. Здравствуйте.
      В инструкции есть пункт: «Если вы сами являетесь владельцем OpenVZ ноды, то есть основного физического сервера, на котором и работают VDS, то нужно предпринять следующие шаги…» — в вашем случае вы являетесь владельцем только виртуального сервера, а это значит что вам необходимо обратиться к своему поставщику (провайдеру) и попросить его включить необходимые модули.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх