fbpx

Các thông số cơn bản trong tường lửa CSF

QUẢNG CÁO

Bài viết này sẽ giới thiệu đến bạn các thông số cơn bản trong tường lửa CSF.
1. Cơ bản về CSF

File cấu hình nằm ở /etc/csf/csf.conf, các file còn lại được nhắc đến bên dưới nếu không nêu rõ đường dẫn thì đều nằm ở thư mục /etc/csf/
Các tham số khi cấu hình có dạng ARGS = “VALUE”, trong đó
VALUE = “0” => Disable
VALUE = “1” => Enable
VALUE > 1 (VALUE = “20” , VALUE = “30” … ): giới hạn tối đa.
VALUE >1 (VALUE = “1800” , VALUE = “3600” … ): thời gian tối đa.

2. Cấu hình cơ bản trong file csf.conf

TESTING = “0”
Mặc định khi vừa cài TESTING = “1”, với TESTING = “1” thì LFD daemon (Login Fail Detect daemon) sẽ không hoạt động, do đó nếu có gì sai sót thì server cũng sẽ không block IP của bạn. Khi cảm thấy cấu hình đã ổn thì tắt TESTING để LFD bắt đầu hoạt động và chặn các IP tấn công.

TESTING_INTERVAL = “5”
Thời gian chạy cronjob để clear iptables nếu như TESTING=1, tính bằng phút.

AUTO_UPDATES = “0”
Disable auto update

TCP_IN = “22,25,53,80,443”
Allow incoming TCP ports: cho ngừoi dùng kết nối đến các dịch vụ SSH, sendmail, DNS, Web trên server.

TCP_OUT = “25,80”
Allow outgoing TCP port: cho phép server kết nối đến web server, sendmail server khác.

UDP_IN = “53”
Allow incoming UDP ports: cho phép người dùng sử dụng dịch vụ DNS trên server.

UDP_OUT = “53”
Allow outgoing UDP ports: cho phép server truy vấn DNS bên ngoài.

ICMP_IN = “1”
Cho phép ping đến server.

ICMP_IN_RATE = “1/s”

Giới hạn tần số ping đến server là 1/s. Nếu ping nhanh hơn tốc độ này sẽ nhận được “Request timeout”. Trong trường hợp nếu nhiều người cùng ping đến server cùng lúc, thì phần lớn sẽ nhận được các phản hồi “Request timeout” do server chỉ nhận 1 request/s, điều này làm chúng ta lầm tưởng kết nối mạng có vấn đề, mạng bị chập chờn nhưng thật ra không phải như vậy. Chỉ cần nâng thông số này lên cao một chút hoặc bỏ luôn ( set giá trị = 0 ) sẽ khắc phục được tình trạng trên.

ETH_DEVICE = “eth0”
Mặc định csf sẽ cấu hình iptables để filter traffic trên toàn bộ các card mạng, ngoại trừ card loopback. Nếu như bạn muốn rules iptables chỉ applied vào card mạng “eth0” thì khai báo ở đây.

ETH_DEVICE_SKIP = “eth1”
Nếu bạn không muốn rules iptables không applied vào card mạng nào thì khai báo ở đây. Ví dụ card “eth1” là card local, bạn không muốn filter trên card này thì cấu hình như trên.

DENY_IP_LIMIT = “500

Giới hạn số lượng IP bị block “vĩnh viễn” bởi CSF (các IP này được lưu trong file /etc/csf/csf.deny). Con số này tùy thuộc vào resource của mỗi server, nếu dùng VPS thì con số này vào khoảng “200” là hợp lý, còn dedicated server thì khoảng “500”. Khi số lượng IP bị block vượt qua con số này, csf sẽ tự động unblock IP cũ nhất (IP ở dòng 1 của file /etc/csf/csf.deny).

LF_DAEMON = “1”
Enable tính năng Login fail detection.

LF_CSF = “1”
Tự động restart CSF khi csf bị stop.

PACKET_FILTER = “1”
Filter các gói tin TCP không hợp lệ (INVALID state như : sequence number không đúng , kết nối ko được thực hiện đủ qua 3 bước bắt tay…)

IPV6 = “0”
Disable IPV6 support

SYNFLOOD = “1”SYNFLOOD_RATE = “30/s”SYNFLOOD_BURST = “40”
Enable synflood protection: Nếu 1 IP gửi 30 cú SYN trong vòng 1s và số lượng SYN connection tồn tại trên server đạt trên 40 thì block IP đó (temp block).

CONNLIMIT = “80;20”
Giới hạn số lượng new concurrent connection đến server trên mỗi IP. Ví dụ trên có nghĩa: mỗi IP được phép mở 20 concurrent new connection đến port 80 trên server.

PORTFLOOD = “80;tcp;20;5”
Giới hạn số lượng connection đến một port cụ thể trong một khoảng thời gian nhất định. Ví dụ như trên có nghĩa: nếu nhiều hơn 20 kết nối tcp đến port 80 trong vòng 5s thì block IP đó tối thiểu 5s tính từ packet cuối cùng của IP đó. Sau 5s IP đó sẽ tự động được unlock và truy cập bình thường.

DROP_NOLOG = “10050,10051”
Danh sách các port khi bị drop sẽ không cần phải ghi vào log.

CONNLIMIT_LOGGING = “1”
Ghi log các IP vượt quá giới hạn CONNLIMIT cấu hình ở bước trên.

LF_ALERT_TO = “your_email@your_domain.com”
Mặc định toàn bộ email thông báo sẽ được gửi về root của server. Nếu bạn muốn gửi đến địa chỉ email khác thì khai báo ở đây.

LF_PERMBLOCK = “1”LF_PERMBLOCK_INTERVAL = “86400”LF_PERMBLOCK_COUNT = “6”LF_PERMBLOCK_ALERT = “1”
Enable tính năng block vĩnh viễn một IP. Nếu một IP bị temp ban (ban tạm) 6 lần khi vi phạm các rule sẽ block ip này 86400s ( 1 ngày) đồng thời gửi email về cho người quản trị biết.

LF_TRIGGER = “1”
Enable tính năng Login Fail Detect cho từng dịch vụ cụ thể (được khai báo bên dưới).

LF_TRIGGER_PERM = “1”.
Khi LF_TRIGGER = “1” thì có thể enable LF_TRIGGER_PERM để kích hoạt block IP permanent.
+ LF_TRIGGER_PERM = “1” => IP sẽ bị block permanent.
+ LF_TRIGGER_PERM = “86400” => IP sẽ bị block 1 ngày.

LF_SELECT = “1”
Khi một IP vi phạm các rule của LFD thay vì block toàn bộ traffic từ IP này đến server thì chỉ block traffic đến dịch vụ mà IP này login fail (ví dụ login ftp sai nhiều lần thì block truy cập đến FTP nhưng vẫn cho phép truy cập vào website).

LF_EMAIL_ALERT = “1”
Gửi email thông báo nếu một IP bị block bởi các trigger bên dưới.

LF_SSHD = “5”LF_SSHD_PERM = “1”
Nếu login SSH sai 5 lần thì sẽ bị block IP (temp block).
Nếu bị temp block lớn hơn số lần quy định ở LF_PERMBLOCK_COUNT (cấu hình bước trên) thì sẽ block permanent.

LF_FTPD = “0”LF_FTPD_PERM = “1”.
Không kích hoạt login fail detect cho dịch vụ FTP.

Tương tự cho các dịch vụ còn lại bên dưới (SMTP , POP3 , IMAP , .htpasswd , mod_security…)

LF_SSH_EMAIL_ALERT = “0”.
Không gửi email thông báo khi có một ai đó login thành công thông qua SSH.

LF_SU_EMAIL_ALERT = “0”.
Không gửi email thông báo khi có một người dùng “su” (switch user) qua người dùng khác. Không gửi email khi họ dùng lệnh “su”, bất kể “su” thành công hoặc thất bại.

LF_DIRWATCH = “3600”.
LFD sẽ check thư mục /tmp và /dev/shm định kỳ sau mỗi 3600s, nếu phát hiện ra các file nghi vấn là file độc hại sẽ gửi email thông báo đến cho chúng ta. Thường thì trên server thư mục, /temp và /dev/shm phân quyền cho phép mọi người dùng có quyền ghi trên thư mục này, do đó các attacker lợi dụng điều này để ghi mã độc vào đây (các file để back connect, local root exploit…)

LF_DIRWATCH_DISABLE = “1”
Khi phát hiện ra các file nghi vấn ở thư mục /tmp và /dev/shm sẽ mv chúng khỏi 2 thư mục trên và append vào file /etc/csf/suspicious.tar, thuận tiện cho chúng ta theo dõi, phân tích về sau và phần nào vô hiệu hóa cuộc tấn công của attacker.

LF_DIRWATCH_FILE = “60”
Theo dõi sự thay đổi của các file và thư mục, nếu có thay đổi gửi email thông báo về cho chúng ta. Để theo dõi file/thư mục nào thì add chúng vào file csf.dirwatch. Cấu hình như trên thì 60s chạy 1 lần.

LF_INTEGRITY = “0”
Kiểm tra tính toàn vẹn của hệ điều hành bằng cách so sánh MD5 của các file binary khi LFD start với MD5 của các file đó lúc kiểm tra. Nếu khác nhau thì sẽ gửi email thông báo. Tính năng này có thể sẽ hoạt động không chính xác khi hệ thống update và sẽ tăng I/O, load của server do phải tính toán MD5 rất nhiều lần.

LF_DISTATTACK = “0”
Phát hiện tấn công brute force từ mạng botnet. Nếu như một account bị login sai quá giới hạn cho phép từ nhiều IP khác nhau thì sẽ block toàn bộ IP đã login sai.

LF_DISTATTACK_UNIQ = “2”
Số lượng IP tối thiểu để nhận biết đây là tấn công phân tán.

LT_POP3D = “30”
Block login POP3 nếu một account được login nhiều hơn 30 lần trong 1 giờ từ 1 IP. Tương tự cho LT_IMAPD.

LT_EMAIL_ALERT = “0”
Send email khi một account vượt quá giới hạn cho phép của LT_IMAPD và LT_POP3D.

LT_SKIPPERMBLOCK = “0”
Không áp dụng permanent block cho LT_POP3D/LT_IMAPD.

CT_LIMIT = “300”
Giới hạn số lượng connection từ một IP đến server. Nếu số lượng đó vượt quá 300 thì temp block IP đó.

CT_INTERVAL = “30”
Các lần scan để kiểm tra cách nhau 30s.

CT_EMAIL_ALERT = “1”
Gửi email thông báo nếu một IP bị block bởi connection tracking.

CT_PERMANENT = “0”
Disable block permanent cho connectiong tracking.

CT_BLOCK_TIME = “1800”
Thời gian block một IP nếu như vi phạm Connection tracking limit.

CT_SKIP_TIME_WAIT = “0”
Khi đếm số lượng connection từ 1 IP đến server thì bỏ qua trạng thái TIME_WAIT của connection , không đếm trạng thái này.

CT_STATES = “SYN_RECV”
Chỉ đếm các kết nối ở trạng thái SYN_RECV.

CT_PORTS = “80,443”
Chỉ áp dụng connection tracking cho các kết nối đến port 80 và 443.

PS_INTERVAL = “300”PS_LIMIT = “15”
Trong 500s nếu kết nối đến nhiều hơn 15 port không có trên server sẽ block IP đó.

PS_PORTS = “0:65535,ICMP”
Giới hạn range port sẽ được theo dõi.

PS_PERMANENT = “0”
IP bị block bởi Port Scan Tracking sẽ là temp block hoặc là permanent :
PS_PERMANENT = “0” : IP bị temp block
PS_PERMANENT = “1” : IP bị block permanent.

PS_BLOCK_TIME = “3600”
Nếu PS_PERMANENT = “0” thì đây là thời gian temp block của một IP.

Chúc các bạn thành công!

Cập nhật nhanh nhất thông tin bài viết bằng cách bấm đăng ký.

Liên quan đến bài đăng

Recommended

Tài liệu nổi bật

Chưa có nội dung khả dụng
giá tốt, chất lượng cao mình rất hài lòng
chất lượng dịch vụ tốt lắm...á
chất lượng dịch vụ rất tốt.
giá tốt, chất lượng cao mình rất hài lòng
Tino giá tốt,chất lượng cao,dịch vụ tư vấn và hổ trợ khách hàng tận tâm.
tôi rất thích sử dụng dịch vụ tại tinohostinohost. tốc độ tải nhanh và cực kỳ rẻ
Dịch vụ chăm sóc khách hàng tốt
Dùng rất oke nha mọi người
Dịch vụ chăm sóc khách hàng tốt, mình rất hài lòng về dịch vụ của TINOHOST
Đã mua rất nhiều tên miền tại Tinohost. Chất lượng tốt
Dịch vụ tốt, chăm sóc khách hàng chu đáo. Mình rất yên tâm khi sử dụng các dịch vụ của Tinohost.
dịch vụ và chăm sóc khách hàng rất tốt , mình rất thích tinohost , mình đã sử dụng nhiều dịch vụ của tinohost rồi
tuyệt vời chăm sóc khách hàng quá tốt
dịch vụ và chăm sóc khách hàng rất tốt , mình rất thích tinohost , mình đã sử dụng nhiều dịch vụ của tinohost rồi
dịch vụ tuyệt vời . chăm sóc khách hàng rất tốt
Quá tốt - Quá xuất sắc và tuyệt
Hỗ trợ nhiệt tình. dịch vụ chất lượng
Host ổn định. miền giá rẻ. hỗ trợ nhanh
Đội ngũ support rất nhiệt tình.
Sử dụng dịch vụ của bạn Tinohost 2 3 năm nay chưa khi nào phải thất vọng.
host dùng chất lượng, miền giá rẻ
Host chất lượng uy tín, dịch vụ tốt
dịch vụ hỗ trợ rất nhanh, tốc độ hosting tốt
Hộ trợ tốt, nhanh. Tuyệt vời 🥰
tuyệt vời, dịch vụ cực tốt và hỗ trợ siêu nhanh
Làm việc nhanh chóng, giá thành hợp lí.
Chất lượng phục vụ tốt, hỗ trợ khá nhanh chóng và chất lượng gói lớn tốt, gói nhỏ cần tốt hơn.
Hosting rẻ và nhanh thích hợp cho học sinh sinh viên như mình
dịch vu tốt ! Sẽ sử dụng thưởng xuyên !
Mỗi lần cần gì, nhắn Tino là được hỗ trợ ngay. Nên một đứa không biết gì về web như mình cũng tạo được blog. Cơ bản mình chỉ lo viết, mọi thứ có anh IT của Tino lo hết.
Nhìn chung thì Tino xứng đáng là một trong những nhà cung cấp host giá rẻ #1 tại VN. Bên này support khá nhanh và nhiệt tình nên quá trình sử dụng diễn ra tương đối trơn tru.
Chất lượng quá ok so với mức giá. Các SME có thể tham khảo để dựng web nhé.
uy tín chất lượng chuẩn cho 5 sao
Dịch vụ nhanh chóng thanh toán tiện lợi
Dịch vụ nhanh chóng, giá cả hợp lý
Chất lượng phục vụ ok, support khá nhanh chóng và chất lượng gói lớn tốt, gói nhỏ cần tốt hơn.
Dịch vụ tốt, giá cả hợp lý👍
Rất hay, rất tốt, rất hữu ích
Hỗ trợ rất nhanh và nhiệt tình
Chất lượng phục vụ ok, support khá nhanh chóng và chất lượng gói lớn tốt, gói nhỏ cần tốt hơn.
dịch vụ tốt, thanh toán nhanh chống
Hài lòng dịch vụ của tinohost
Sau khi sử dụng dịch vụ của TinoHost. Mình thấy website load nhanh hơn hẳn so với sử dụng ở nhà cung cấp cũ. Giá cả do mình đc mua với giá sale 99% của TinoHost nên rất là rẻ. Gói mình mua là gòi Hosting Bussiness 20GB. Thông số cấu hình cao nên web load khá mượt
Chúc TinoHost phát triển!
domain rẻ, có nhiều gói hữu ích thích hợp cho sinh viên
Dịch vụ trãi nghiệm tốt, cho 5 sao
Hài lòng về dịch vụ và tư vấn
Dịch vụ tốt . Support nhiệt tình
Dịch vụ thật tuyệt vời
Chất lượng OK
Nhanh chóng
Đã gia hạn thêm gói 1 năm nữa của TINO host. Chất lượng sản phẩm và dịch vụ thật sự tốt. AE nên trải nghiệm thử và tin dùng. Thank you TINO 👍
dịch vụ rất tốt
Nhân viên support nhanh, hỗ trợ nhiệt tình, giao dịch tự động nên khá tiện
đã mua tên miền và hosting bên Tino, sẽ trải nghiệm lâu dài
Đã dùng nhiều dịch vụ tại Tinohost, chất lượng tốt, rất hài lòng ...😀
Các bạn hỗ trợ làm việc nhiệt tình và chuyên nghiệp!
Sự dụng rất hài lòng với các dịch vụ của tinohost
Dịch vụ tốt, uy tín chất lượng
Tino dịch vụ quá tuyệt vời
Giá rẻ, dịch vụ tốt, hỗ trợ nhanh chóng
Dịch vụ tốt hỗ trợ support nhanh
dịch vụ rất tốt rất tuyệt vời
Giá hợp lý cho người mới dùng
Mình thấy Tinohost có giao diện thân thiện, dễ đăng ký sử dụng cho người mới tập tành làm web như mình. Hosting hỗ trợ có nhiều lựa chọn về dung lượng và giá cả! Thanh toán qua momo thuận tiện. Recommended!
wed quá ok làm việc nhanh ngọn
Dv Rất Tốt Và Rất Hay
Dịch vụ tốt. Khá hài lòng vì support nhiệt tình
Dịch vụ quá tuyệt vời danh cho các bạn
đội sp của Tino rất nhiệt tình và nhanh chóng
Xin cảm ơn đội ngủ kỹ thuật. Các bạn rất chuyên nghiệp và thân thiện. Tôi sẽ giới thiệu các bạn cho bạn bè của mình.
Dịch vụ hỗ trợ tốt, ổn định, thanh toán dễ dàng.
Mình từng dùng VPS bên Vietel IDC, hay gặp lỗi vặt và bảo trì liên tục. Nhưng Tino thì rất ok
dùng tốt, nhanh, dễ sử dụng
Giao diện đẹp mắt, dễ sử dụng
ok, chưa dùng nên để test thử xem sao, vẫn đánh giá 5* trước
Thích cách tư vấn tận tình và nhanh gọn của Tino mỗi khi có vấn đề trục trặc. Hosting ổn định, giá rẻ tốt lắm nhé mọi người
Đề nghị xem lại vấn đề phục vụ khách hàng (livchat)!
Good. Tốc độ cao. Tùy chỉnh nhiều trên shared hosting.
hosting ngon, giá luôn rẻ, tôi làm code nhưng rất thích sài host tino
Dịch vụ tốt, hỗ trợ nhiệt tình
Tino cung cấp host rất chuyên nghiệp. Đội ngũ kỹ thuật hỗ trợ rất tận tâm và nhiệt tình. Mình sẽ tiếp tục ủng hộ Tino 🥰.
Rất tuyệt vời🙆🙆🙆🙆🙆🙆🙆🙆🙆
Xét về tầm giá thì TinoHost rất đáng để mua và sử dụng lâu dài.
tuyệt vời quá đi,tuyệt vời quá đi
Tốc độ ổn định, tư vấn nhiệt tình
mới tham gia, mong mọi người hỗ trợ thêm
Tốc độ khá tốt với gói rẻ nhất 9k
Giao dịch nhanh,support nhanh và tận tình,chuyển miền nhanh,Hosting Ok
mua sản phẩm dịch vụ tinhot rất tốt tặng ad 5tr ** luon nè🥰🥰🥰
là khách hàng của tino lâu năm, mình rất hài lòng với cách làm việc cực kì chuyên nghiệp của tino. sản phẩm chất lượng và dịch vụ chăm sóc cũng rất chất lượng. hi vọng tino tiếp tục duy trì và phát huy tinh thần này
tinohost
một truong những nơi bán hosting rẻ, chất lượng dành cho anh em nào cần để làm web
mua tại : tinohost.com
Tư vấn tận tình và nhanh gọn mỗi khi có vấn đề trục trặc. Hosting ổn định, giá rẻ tốt lắm nhé mọi người
mình đã mua 2 tên miền + hosting của Tino Host . quả nhiên hiệu quả SEO cải thiện đáng kể và chứng chỉ bảo mật HTTPS miễn phí của Tino Host cũng ko kém phần quang trọng cho việc SEO website của mình
Tino host là một trong nhà cung cấp tốt nhất mình từng sử dụng. Với ưu đãi khuyến mại nhiều, giá thành rẻ kèm theo đó là sự support tuyệt vời của các admin. Nếu ai chưa lựa chọn được nhà cung cấp cho bản thân mình thì Tinohost sẽ là câu trả lời tốt nhất.
dịch vụ tốt, đội ngũ support nhiệt tình, cảm ơn #tinohost
dịch vụ tốt, chăm sóc khách hàng nhanh, đã mua 4 tên miền 😁
Uy tín, chất lượng, nhân viên hỗ trợ nhiệt tình
mua 2 domain tại tinohost dùng rất chất lượng
Đã mua 02 domain và hosting tại TinoHost, hài lòng cách tư vấn và chăm sóc khách hàng của TinoHost :)
Giá rẻ cấu hình mạnh, black friday là sự bùng nổ của Tino
Next Reviews

Xin Chào !

Đăng nhập vào tài khoản của bạn bên dưới

Truy xuất mật khẩu của bạn

Vui lòng nhập tên người dùng hoặc địa chỉ email của bạn để đặt lại mật khẩu của bạn.