Hướng dẫn cấu hình CSF (ConfigServer & Firewall)

Thảo luận trong 'SSH, Server Manager' bắt đầu bởi Long nguyen, 1/8/15.

  1. Long nguyen

    Long nguyen Long Liều

    Tham gia:
    26/4/15
    Bài viết:
    168
    "Thích" đã nhận:
    14
    Điểm nhận Cup:
    18
    Giới tính:
    Nam
    Trang chủ:
    Các bạn xem lại nhé... Trong này hình như là cấu hình bị đụng... nếu tìm được sửa giúp mình nha...bửa hổm cấu hình xong.. mắc cài lại firewall luôn :v :v

    - File cấu hình nằm ở /etc/csf/csf.conf , các file còn lại được nhắc đến bên dưới nếu không nêu rõ đường dẫn thì đều nằm ở thư mục /etc/csf/
    - Các tham số khi cấu hình có dạng ARGS = "VALUE" , trong đó
    + VALUE = "0" => Disable
    + VALUE = "1" => Enable
    + VALUE > 1 (VALUE = "20" , VALUE = "30" ... ) : giới hạn tối đa.
    + VALUE >1 (VALUE = "1800" , VALUE = "3600" ... ) : thời gian tối đa.

    Bắt đầu:

    TESTING = "0"
    Mặc định khi vừa cài TESTING = "1", với TESTING = "1" thì LFD daemon (Login Fail Detect daemon) sẽ không hoạt động, do đó nếu có gì sai sót thì server cũng sẽ không block IP của bạn. Khi cảm thấy cấu hình đã ổn thì tắt TESTING để LFD bắt đầu hoạt động và chặn các IP tấn công.


    TESTING_INTERVAL = "5"
    Thời gian chạy cronjob để clear iptables nếu như TESTING=1 , tính bằng phút.


    AUTO_UPDATES = "0"
    Disable auto update



    TCP_IN = "22,25,53,80,443"
    Allow incoming TCP ports: cho ngừoi dùng kết nối đến các dịch vụ SSH, sendmail, DNS, Web trên server.



    TCP_OUT = "25,80"
    Allow outgoing TCP port: cho phép server kết nối đến web server, sendmail server khác.



    UDP_IN = "53"
    Allow incoming UDP ports: cho phép người dùng sử dụng dịch vụ DNS trên server.



    UDP_OUT = "53"
    Allow outgoing UDP ports: cho phép server truy vấn DNS bên ngoài.



    ICMP_IN = "1"
    Cho phép ping đến server.



    ICMP_IN_RATE = "1/s"
    Giới hạn tần số ping đến server là 1/s. Nếu ping nhanh hơn tốc độ này sẽ nhận được "Request timeout" . Trong trường hợp nếu nhiều người cùng ping đến server cùng lúc , thì phần lớn sẽ nhận được các phản hồi "Request timeout" do server chỉ nhận 1 request/s , điều này làm chúng ta lầm tưởng kết nối mạng có vấn đề , mạng bị chập chờn nhưng thật ra không phải như vậy . Chỉ cần nâng thông số này lên cao một chút hoặc bỏ luôn ( set giá trị = 0 ) sẽ khắc phục được tình trạng trên.



    ETH_DEVICE = "eth0"
    Mặc định csf sẽ cấu hình iptables để filter traffic trên toàn bộ các card mạng , ngoại trừ card loopback . Nếu như bạn muốn rules iptables chỉ applied vào card mạng "eth0" thì khai báo ở đây.



    ETH_DEVICE_SKIP = "eth1"
    Nếu bạn không muốn rules iptables không applied vào card mạng nào thì khai báo ở đây. Ví dụ card "eth1" là card local , bạn không muốn filter trên card này thì cấu hình như trên.



    DENY_IP_LIMIT = "500
    "
    Giới hạn số lượng IP bị block "vĩnh viễn" bởi CSF (các IP này được lưu trong file /etc/csf/csf.deny). Con số này tùy thuộc vào resource của mỗi server, nếu dùng VPS thì con số này vào khoảng "200" là hợp lý , còn dedicated server thì khoảng "500". Khi số lượng IP bị block vượt qua con số này , csf sẽ tự động unblock IP cũ nhất (IP ở dòng 1 của file /etc/csf/csf.deny)



    LF_DAEMON = "1"
    Enable tính năng Login fail detection.



    LF_CSF = "1"
    Tự động restart CSF khi csf bị stop.



    PACKET_FILTER = "1"
    Filter các gói tin TCP không hợp lệ (INVALID state như : sequence number không đúng , kết nối ko được thực hiện đủ qua 3 bước bắt tay ... )



    IPV6 = "0"
    Disable IPV6 support



    SYNFLOOD = "1"SYNFLOOD_RATE = "30/s"SYNFLOOD_BURST = "40"
    Enable synflood protection : Nếu 1 IP gửi 30 cú SYN trong vòng 1s và số lượng SYN connection tồn tại trên server đạt trên 40 thì block IP đó (temp block)



    CONNLIMIT = "80;20"
    Giới hạn số lượng new concurrent connection đến server trên mỗi IP. Ví dụ trên có nghĩa : mỗi IP được phép mở 20 concurrent new connection đến port 80 trên server.



    PORTFLOOD = "80;tcp;20;5"
    Giới hạn số lượng connection đến một port cụ thể trong một khoảng thời gian nhất định. Ví dụ như trên có nghĩa : nếu nhiều hơn 20 kết nối tcp đến port 80 trong vòng 5s thì block IP đó tối thiểu 5s tính từ packet cuối cùng của IP đó. Sau 5s IP đó sẽ tự động được unlock và truy cập bình thường.



    DROP_NOLOG = "10050,10051"
    Danh sách các port khi bị drop sẽ không cần phải ghi vào log



    CONNLIMIT_LOGGING = "1"
    Ghi log các IP vượt quá giới hạn CONNLIMIT cấu hình ở bước trên.



    LF_ALERT_TO = "your_email@your_domain.com"
    Mặc định toàn bộ email thông báo sẽ được gửi về root của server . Nếu bạn muốn gửi đến địa chỉ email khác thì khai báo ở đây.



    LF_PERMBLOCK = "1"LF_PERMBLOCK_INTERVAL = "86400"LF_PERMBLOCK_COUNT = "6"LF_PERMBLOCK_ALERT = "1"
    Enable tính năng block vĩnh viễn một IP . Nếu một IP bị temp ban (ban tạm) 6 lần khi vi phạm các rule sẽ block ip này 86400s ( 1 ngày) đồng thời gửi email về cho ngừoi quản trị biết.



    LF_TRIGGER = "1"
    Enable tính năng Login Fail Detect cho từng dịch vụ cụ thể (được khai báo bên dưới)



    LF_TRIGGER_PERM = "1"
    Khi LF_TRIGGER = "1" thì có thể enable LF_TRIGGER_PERM để kích hoạt block IP permanent
    + LF_TRIGGER_PERM = "1" => IP sẽ bị block permanent
    + LF_TRIGGER_PERM = "86400" => IP sẽ bị block 1 ngày



    LF_SELECT = "1"
    Khi một IP vi phạm các rule của LFD thay vì block toàn bộ traffic từ IP này đến server thì chỉ block traffic đến dịch vụ mà IP này login fail (ví dụ login ftp sai nhiều lần thì block truy cập đến FTP nhưng vẫn cho phép truy cập vào website)



    LF_EMAIL_ALERT = "1"
    Gửi email thông báo nếu một IP bị block bởi các trigger bên dưới



    LF_SSHD = "5"LF_SSHD_PERM = "1"
    Nếu login SSH sai 5 lần thì sẽ bị block IP (temp block)
    Nếu bị temp block lớn hơn số lần quy định ở LF_PERMBLOCK_COUNT (cấu hình bước trên ) thì sẽ block permanent.



    LF_FTPD = "0"LF_FTPD_PERM = "1"
    Không kích hoạt login fail detect cho dịch vụ FTP.

    Tương tự cho các dịch vụ còn lại bên dưới ( SMTP , POP3 , IMAP , .htpasswd , mod_security ... )

    LF_SSH_EMAIL_ALERT = "0"
    Không gửi email thông báo khi có một ai đó login thành công thông qua SSH

    LF_SU_EMAIL_ALERT = "0"
    Không gửi email thông báo khi có một người dùng "su" (switch user) qua người dùng khác. Không gửi email khi họ dùng lệnh "su" , bất kể "su" thành công hoặc thất bại.



    LF_DIRWATCH = "3600"
    LFD sẽ check thư mục /tmp và /dev/shm định kỳ sau mỗi 3600s , nếu phát hiện ra các file nghi vấn là file độc hại sẽ gửi email thông báo đến cho chúng ta. Thường thì trên server thư mục, /temp và /dev/shm phân quyền cho phép mọi người dùng có quyền ghi trên thư mục này , do đó các attacker lợi dụng điều này để ghi mã độc vào đây (các file để back connect , local root exploit ... )



    LF_DIRWATCH_DISABLE = "1"
    Khi phát hiện ra các file nghi vấn ở thư mục /tmp và /dev/shm sẽ mv chúng khỏi 2 thư mục trên và append vào file /etc/csf/suspicious.tar , thuận tiện cho chúng ta theo dõi , phân tích về sau và phần nào vô hiệu hóa cuộc tấn công của attacker.



    LF_DIRWATCH_FILE = "60"
    Theo dõi sự thay đổi của các file và thư mục , nếu có thay đổi gửi email thông báo về cho chúng ta. Để theo dõi file/thư mục nào thì add chúng vào file csf.dirwatch. Cấu hình như trên thì 60s chạy 1 lần.



    LF_INTEGRITY = "0"
    Kiểm tra tính toàn vẹn của hệ điều hành bằng cách so sánh MD5 của các file binary khi LFD start với MD5 của các file đó lúc kiểm tra. Nếu khác nhau thì sẽ gửi email thông báo. Tính năng này có thể sẽ hoạt động không chính xác khi hệ thống update và sẽ tăng I/O , load của server do phải tính toán MD5 rất nhiều lần.



    LF_DISTATTACK = "0"
    Phát hiện tấn công brute force từ mạng botnet. Nếu như một account bị login sai quá giới hạn cho phép từ nhiều IP khác nhau thì sẽ block toàn bộ IP đã login sai.



    LF_DISTATTACK_UNIQ = "2"
    Số lượng IP tối thiểu để nhận biết đây là tấn công phân tán.



    LT_POP3D = "30"
    Block login POP3 nếu một account được login nhiều hơn 30 lần trong 1 giờ từ 1 IP. Tương tự cho LT_IMAPD.



    LT_EMAIL_ALERT = "0"
    Send email khi một account vượt quá giới hạn cho phép của LT_IMAPD và LT_POP3D



    LT_SKIPPERMBLOCK = "0"
    Không áp dụng permanent block cho LT_POP3D/LT_IMAPD



    CT_LIMIT = "300"
    Giới hạn số lượng connection từ một IP đến server . Nếu số lượng đó vượt quá 300 thì temp block IP đó.



    CT_INTERVAL = "30"
    Các lần scan để kiểm tra cách nhau 30s.



    CT_EMAIL_ALERT = "1"
    Gửi email thông báo nếu một IP bị block bởi connection tracking.



    CT_PERMANENT = "0"
    Disable block permanent cho connectiong tracking.



    CT_BLOCK_TIME = "1800"
    Thời gian block một IP nếu như vi phạm Connection tracking limit.



    CT_SKIP_TIME_WAIT = "0"
    Khi đếm số lượng connection từ 1 IP đến server thì bỏ qua trạng thái TIME_WAIT của connection , không đếm trạng thái này.



    CT_STATES = "SYN_RECV"
    Chỉ đếm các kết nối ở trạng thái SYN_RECV



    CT_PORTS = "80,443"
    Chỉ áp dụng connection tracking cho các kết nối đến port 80 và 443.



    PS_INTERVAL = "300"PS_LIMIT = "15"
    Trong 500s nếu kết nối đến nhiều hơn 15 port không có trên server sẽ block IP đó.



    PS_PORTS = "0:65535,ICMP"
    Giới hạn range port sẽ được theo dõi.



    PS_PERMANENT = "0"
    IP bị block bởi Port Scan Tracking sẽ là temp block hoặc là permanent :
    PS_PERMANENT = "0" : IP bị temp block
    PS_PERMANENT = "1" : IP bị block permanent.



    PS_BLOCK_TIME = "3600"
    Nếu PS_PERMANENT = "0" thì đây là thời gian temp block của một IP.



    PS_EMAIL_ALERT = "1"
    Gửi email thông báo khi có một IP bị block.

    Mặc định thì CSF gửi toàn bộ email về địa chỉ đã cấu hình ở phần "LF_ALERT_TO" , nếu trường hợp đặc biệt bạn muốn vài thông báo nào đó gửi về email khác thì có thể chạy một trong các lệnh sau: (nhớ chọn đúng phần alert muốn gửi để chạy lệnh)

    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/connectiontracking.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/exploitalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/filealert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/loadalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/logfloodalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/netblock.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/permblock.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/portknocking.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/portscan.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/resalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/scriptalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/tracking.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/usertracking.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/watchalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/x-arf.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/alert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/sshalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/processtracking.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/sualert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/integrityalert.txt
    perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/accounttracking.txt

    Với :

    /etc/csf/alert.txt - for port blocking emails
    /etc/csf/tracking.txt - for POP3/IMAP blocking emails
    /etc/csf/connectiontracking.txt - for connection tracking emails
    /etc/csf/processtracking.txt - for process tracking alert emails
    /etc/csf/usertracking.txt - for user process tracking alert emails
    /etc/csf/sshalert.txt - for SSH login emails
    /etc/csf/sualert.txt - for SU alert emails
    /etc/csf/uialert.txt - for UI alert emails
    /etc/csf/scriptalert.txt - for script alert emails
    /etc/csf/filealert.txt - for suspicious file alert emails
    /etc/csf/watchalert.txt - for watched file and directory change alert emails
    /etc/csf/loadalert.txt - for high load average alert emails
    /etc/csf/resalert.txt - for process resource alert emails
    /etc/csf/exploitalert.txt - for system exploit alert emails
    /etc/csf/integrityalert.txt - for system integrity alert emails
    /etc/csf/relayalert.txt - for email relay alert emails
    /etc/csf/portscan.txt - for port scan tracking alert emails
    /etc/csf/permblock.txt - for temporary to permanent block alert emails
    /etc/csf/netblock.txt - for netblock alert emails
    /etc/csf/accounttracking.txt - for account tracking alert emails
    /etc/csf/queuealert.txt - for email queue alert emails
    /etc/csf/logfloodalert.txt - for log file flooding alert emails
    /etc/csf/cpanelalert.txt - for WHM/cPanel account access emails
    /etc/csf/portknocking.txt - for Port Knocking alert emails
     

    Bình Luận Bằng Facebook

  2. denled3d3012

    denled3d3012 Member

    Tham gia:
    30/12/16
    Bài viết:
    66
    "Thích" đã nhận:
    0
    Điểm nhận Cup:
    6
    Giới tính:
    Nam
    Bạn là một người yêu mến của siêu anh hùng Spider Man, với ánh sáng mềm dịu và nhiệt độ thấp, đèn Led 3D hình Spider Man là lựa chọn hoàn hảo để trưng bày trong phòng khách, văn phòng– tạo điểm nhấn, thu hút mọi người, tạo sự mới mẻ, tươi vui, hoặc là đặt tại phòng ngủ của bạn, trong quán rượu, các câu lạc bộ, nhà hàng, quán bar… như một ngọn đèn đêm diệu kỳ, mờ ảo và cũng có thể là bất cứ nơi nào bạn muốn.

    [​IMG]

    Spider Man - Peter Parker là một cậu học sinh nhút nhát, được nuôi nấng bởi cô và chú giàu tình thương nhưng không có con, vậy nên họ luôn coi cậu như con đẻ. Trong một lần đi tham dự cuộc hội thảo khoa học, Peter vô tình bị cắn bởi một chú nhện trong phòng thí nghiệm. Sau khi bị bất tỉnh, tỉnh dậy cậu thấy mình trở nên vạm vỡ và có những khả năng phi thường. Cậu sử dụng năng lực của mình để thực hiện những việc tốt, giúp đỡ kẻ yếu nhưng luôn giữ kín tung tích của mình. Nhưng, có sức mạnh không có nghĩa là may mắn. Peter đã gặp phải một kẻ thù hết sức lợi hại là Norman Osborn - một nhà khoa học bị gặp một vụ tai nạn đã biến hắn thành một kẻ nửa người máy độc ác, có năng lực không kém gì cậu!

    [​IMG]

    Vậy thì bạn không nên bỏ lỡ siêu phẩm Đèn led 3D hình Spider Man “made in Việt Nam” được thiết kế tinh sảo đẹp mắt, kết hợp nhiều tính năng hấp dẫn hứa hẹn sẽ mang đến nhiều thú vị cho người được tặng món quà này. Đèn led 3D Spider Man hiện đang rất hot, hãy nhanh tay mua ngay cho mình hoặc làm quà tặng bạn bè. Có bạn gái nào mơ ước được người yêu tặng một 1 chiếc đèn led 3D dễ thương này không?

    [​IMG]



    Thông số kỹ thuật đèn led 3d
    o Kích thước: 170 x 100 x 280 mm
    o Điện áp: 5V, 0.5A
    o Loại đầu cắm: cổng USB
    o Thời gian sử dụng LED: 50.000 giờ
    o Trọng lượng : 0.5 kg
    o Giá 300.000 đ/bộ bao gồm: 1 đế LED liền cáp USB, điều khiển, 1 tấm kính acrylic khắc hình 3D chưa bao gồm phí Ship.

    Điện thoại: Call 0972.841.191 - (Zalo) 01269.266.888

    Địa chỉ: 337/67/16C Cầu Giấy, Q Cầu Giấy, Hà Nội
     
  3. mucin413

    mucin413 Member

    Tham gia:
    13/10/17
    Bài viết:
    47
    "Thích" đã nhận:
    0
    Điểm nhận Cup:
    6
    Giới tính:
    Nam
    Thu mua muc in hp ce310 tại Tỉnh Thanh Hóa dịch vụ tốt

    Quý doanh nghiệp đang cần bán một lượng hộp mực in hp CE 310,ce311,ce312,ce313 và muốn bán được giá cao. Nhưng vì chưa có thời gian và không thể tìm được nguồn thu mua giá tốt nên vẫn chưa bán được,mua hộp mực cũ tại Huyện Hậu Lộc, Tỉnh Thanh Hóa . Nếu vậy, hãy liên hệ ngay cho chúng tôi để thu mua mực in CE 310.

    Cửa Hàng Thu Mua Mực In kính chào quý khách! Chúng tôi tự hào là đơn vị thu mua mực in giá tốt nhất hiện nay. Dịch vụ nhanh chóng, uy tín và cam kết về chất lượng đã giúp chúng tôi trở thành nơi thu mua mực in quen thuộc của nhiều doanh nghiệp.

    [​IMG]

    Thu mua mực in CE 310 giá tốt chi có tại thanhlymucin.com

    Nếu bạn muốn thu mua mực in hp CE 310,ce311,ce312,ce313 với giá tốt, xin vui lòng tham khảo trên website của chúng tôi để biết về thông tin sản phẩm. Ví dụ: Hộp mực in CE 310 có màu đen, dùng loại mực in bằng laser đen trắng, dùng mã mực CE_310, dùng được cho loại máy in HP COLOR JET 1025. Sau đó, bạn thông báo thêm về số lượng sản phẩm bạn cần bán, số lần nạp mực cho sản phẩm đó. Chúng tôi sẽ báo giá chi tiết và ưu đãi nhất cho quý khách.

    [​IMG]

    Cửa Hàng Thu Mua Mực In rất mong nhận được sự hợp tác của quý khách

    Trong vòng 2 giờ sau khi gọi, chúng tôi sẽ cử nhân viên đến thu mua mực in hp CE 310,ce311,ce312,ce313 tận nơi và trả tiền cho quý khách. Không mất nhiều thời gian, thủ tục đơn giản, an toàn và nhanh chóng.

    Quy trình thu mua mực ịn bao gồm các bước như sau:

    Bước 1: Truy cập vào website thanhlymucin.com

    Bước 2: Kiểm tra hộp mực cũ của quý khách mã số bao nhiêu? (Ví dụ: hp CE 310,ce311,ce312,ce313 ).

    Bước 3: Vào website thanhlymucin.com => sẩn phẩm => Tìm đúng mã hộp mực quý khách đang có, trên web có giá (tùy thời điểm ).

    Hoặc vào mục tìm kiếm trên website => gõ đúng mã số quý khách cần bán => Hiển thị ngay kết quả & giá cho quý khách.

    Bước 4: Liên hệ với chúng tôi qua số HOTLINE: 0918.71.33.79 hoặc Email: mucin168@gmail.com

    Cửa Hàng Thu Mua Mực In tự hào đã thu mua mực in trên toàn quốc và giúp các trường học, công ty, nhà xưởng dọn sạch rác nhanh chóng. Hơn thế, công việc thu mua cũng là cách giúp cửa hàng đóng góp vào công cuộc bảo vệ môi trường khi tận dụng được những thứ rác thải bỏ đi.

    Đã có rất nhiều doanh nghiệp cam kết sẽ hợp tác với Cửa Hàng Thu Mua Mực In bởi vị dự án tuyệt vời này.

    Anh Thái An – công ty tai chính KX đã nói: Dịch vụ thu mua thu mua mực in CE 310 rất hay, có ý nghĩa thiết thực. Rất ủng hộ dịch vụ này nên công ty tôi quyết định từ nay về sau sẽ gom tất cả các hộp mực in đã hết mực cung cấp cho dịch vụ này”.

    Họ đang hưởng ứng rất nhiệt tình dịch vụ thu gom hợp mực cũ. Còn bạn thì sao? Hãy xử lý rác thi công ty bạn nhanh thôi.
     

Share This Page