Материал из Wiki.VDSPlanet.ru.
Итак, приступим.
Вы можете защитить свой сервер с помощью ConfigServer Security and Firewall.
Внимание!
- Для установки данного брандмауэра, требуются некоторые модули iptables, для установки которых требуется вмешательство поддержки! Поэтому обязательно посоветуйтесь с тех. поддержкой.
- Убедитесь что у вас установлена библиотека libwww-perl, если нет таковой, установите командой apt-get install libwww-perl.
Установка:
wget http://www.configserver.com/free/csf.tgz tar -zxvf csf.tgz && cd csf && sudo -s && ./install.sh
После того, как пакет был установлен, Вам надо будет сконфигурировать программу для правильной работы - иначе могут быть проблемы.
Итак, файл конфигурации находится в /etc/csf/csf.conf. Измените его с помощью своего любимого редактора (vi, vim и т.д.):
Пропустите ETH_DEVICE - CSF настроит это автоматически.
Измените следующие строки в файле конфигурации (вы можете указать любые порты):
# Allow incoming TCP ports TCP_IN = "25,53,110,953,993,995,22" # Allow outgoing TCP ports TCP_OUT = "25,53,80,110,113,443"
Если Вы хотите, чтобы к вашему серверу возможно было посылать ICMP-запросы (ping) сделайте следующее:
# Allow incoming PING ICMP_IN = "1"
Сохраните изменения и закройте редактор.
Внимание! Проверьте наличие /etc/csf/csfpre.sh - возможно, он не будет создан и Вам придется его создать своими руками:
echo '#!/bin/bash' > /etc/csf/csfpre.sh chmod +x /etc/csf/csfpre.sh
В силу местных особенностей, Вам будет необходимо добавить следующие строки в /etc/csf/csfpre.sh:
iptables -A INPUT -i venet0 -j ACCEPT iptables -A OUTPUT -o venet0 -j ACCEPT iptables -A FORWARD -j ACCEPT -p all -s 0/0 -i venet0 iptables -A FORWARD -j ACCEPT -p all -s 0/0 -o venet0
Сценарий csfpre.sh будет выполняться каждый раз перед запуском CSF.
Теперь мы готовы к запуску.
service csf start
Если вдруг не получается запустить коммандой service (command not found), то:
./csf.pl -s
Как только Вы ощутите, что всё великолепно и работает на ура, сделайте следующее: Смените 1 на 0 в csf.conf По дефолту в конфигурационном файле Вы увидите единицу (1).
Ниже приведем кусочек конфиг файла.
############################################################################### # Copyright 2006-2009, Way to the Web Limited # URL: http://www.waytotheweb.com # Email: sales@waytotheweb.com ############################################################################### # Testing flag - enables a CRON job that clears iptables incase of # configuration problems when you start csf. This should be enabled until you # are sure that the firewall works - i.e. incase you get locked out of your # server! Then do remember to set it to 0 and restart csf when you're sure # everything is OK. Stopping csf will remove the line from /etc/crontab TESTING = "0"
Далее:
service csf restart
Вроде все.
Дополнительно вы можете выключить слежку за процессами и процессами пользователей (Внесите в csf.conf):
PT_USERTIME = "0" PT_LIMIT = "0" PT_USERPROC = "0"