HƯỚNG DẪN CÀI ĐẶT VÀ CẤU HÌNH CSF CHỐNG DOS, CHỐNG HACK (CONFIGSERVER & FIREWALL)

HƯỚNG DẪN CÀI ĐẶT VÀ CẤU HÌNH CSF CHỐNG DOS, CHỐNG HACK (CONFIGSERVER & FIREWALL)

By Unknown - Chủ Nhật, 27 tháng 7, 2014 - No Comments

HƯỚNG DẪN CÀI ĐẶT VÀ CẤU HÌNH CSF CHỐNG DOS, CHỐNG HACK (CONFIGSERVER & FIREWALL)CSF (ConfigServer & Firewall) là 1 gói ứng dụng hoạt động trên Linux như 1 Firewall được phát hành miễn phí để tăng tính bảo mật cho server (VPS và Dedicated). CSF hoạt động dựa trên iptables và tiến trình ldf để quyét các file log để phát hiện các dấu hiệu tấn công bất thường.

ConfigServer & Firewall

CSF sẽ giúp server của bạn:
- Chống DoS các loại
- Chống Scan Port
- Đưa ra các lời khuyên về việc cấu hình server (VD: Nên nâng cấp MySQL lên bản mới hơn)
- Chống BruteForce Attack vào ftp server, web server, mail server,directadmin,cPanel...
- Chống Syn Flood
- Chống Ping Flood
- Cho phép ngăn chặn truy cập từ 1 quốc gia nào đó bằng cách chỉ định Country Code chuẫn ISO
- Hỗ trợ IPv6 và IPv4
- CHo phép khóa IP tạm thời và vĩnh viễn ở tầng mạng (An toàn hơn ở tầng ứng dụng ) nên webserver ko phải mệt nhọc xử lý yêu cầu từ các IP bị cấm nữa
- Cho phép bạn chuyến hướng yêu cầu từ các IP bị khóa sang 1 file html để thông báo cho người dùng biết IP của họ bị khóa
-Và rất nhiều tính năng khác, các bạn tự tìm hiểu thêm

1. Cách cài đặt CSF (ConfigServer & Firewall) 

Đầu tiên các bạn chuyển vào thư mục /usr/src/ bằng lệnh sau
Code:
[root@server1 src]# cd /usr/src/
Tiếp theo, các bạn tải csf về bằng lệnh sau

Code:
[root@server1 src]# wget http://configserver.com/free/csf.tgz

csf đang được tải về

Sau khi tải về xong, các bạn giải nén file vừa tải về bằng lệnh
Code:
[root@server1 src]# tar -xvf csf.tgz
Các bạn chuyển vào thư mục vừa giải nén bằng lệnh
Code:
[root@server1 src]# cd csf
Chạy file cài đặt bằng lệnh

Code:
[root@server1 csf]# sh install.sh

Quá trình cài đặt csf đã hoàn tất

Khi thông báo Installation Completed hiện ra tức là bạn đã cài thành công



Bạn gõ lệnh sau để kiểm tra xem server của bạn có đầy đủ các module iptables mà csf cần để hoạt động ko
Code:
[root@server1 csf]# perl /etc/csf/csftest.pl

Kiểm tra server đã cài đủ các module cần thiết cho iptables chưa

nếu kết quả như hình trên thì csf sẽ hoạt động rất tốt, nếu thiếu 1 số module thì bạn cũng đừng lo lắng, chỉ cần khi bạn gõ lệnh này mà không có 1 lỗi FATAL errors nào xuất hiện thì csf sẽ có thể hoạt động được 


Nếu trước đây bạn có cài 1 số firewall khác dạng như csf như APF + BFD, bạn nên gỡ bỏ nó bằng lệnh sau, nếu không, sẽ gây ra 1 sự xung đột khủng khiếp :-ss
Nếu bạn lo lắng vì không biết trước đây đã có cài chúng hay chưa thì cũng đừng lo lắng, cứ chạy lệnh này, nếu có thì nó sẽ được gỡ bỏ, nếu không thì cũng không sao 

Code:
[root@server1 csf]# sh /etc/csf/remove_apf_bfd.sh

Gỡ bỏ APF nếu trước đó đã cài để tránh xung đột

2. Cấu hình CSF như thế nào ?
Nếu bạn đang cài DirectAdmin hay cPanel, thì sau khi cài CSF trong cPanel hoặc DirectAdmin sẽ có thêm 1 plugin để bạn cấu hình nó.

csf được tích hợp vào DirectAdmin và cPanel

2.1 Tắt chế độ Test Mode trên CSF

Sau khi cài đặt CSF thì CSF đã được enable nhưng ở chế độ Test Mode. Bạn chuyển sang chế độ hoạt động bằng cách sau
- Login vào DirectAdmin (Tài khoản admin) hoặc cPanel (Tài khoản root)
- Click chọn chức năng "ConfigServer Firewall&Security"

Chọn chức năng ConfigServer & Firewall trên DirectAdmin

Chọn tiếp mục Firewall Configuration như hình sau

Chọn Firewall Configuration

bạn sửa phần TESTING thành 0 như hình dưới

Sửa phần TESTING thành 0 để tắt chế độ Test Mode

Sau đó cuộn xuống gần cuối trang bấm change

Bấm change ở cuối trang để cập nhật thay đổi

Bấm restart csf + ldf để thay đổi cập nhật

Khởi động lại csf và lfd để thay đổi có hiệu lực

Nếu bạn ko dùng DirectAdmin hoặc cPanel? Đừng lo lắng  , bạn có thể bỏ test mode bằng cách sau trên SSH
Bạn gõ lệnh
Code:
[root@server1 csf]# vi /etc/csf/csf.conf
Bấm nút I (Nút chữ I trên bàn phím) rồi sửa chỗ TESTING="1" thành TESTING="0"

Mở file /etc/csf/csf/conf sửa phần TESTING thành 0 để tắt Test Mode

Sau đó bạn bấm nút ESC, rồi bấm tiếp  (dấu 2 chấm và chữ x thường) rồi Enter
Cuối cùng bạn gõ 2 lệnh sau để khởi động lại csf
Code:
[root@server1 csf]# csf -r[root@server1 csf]# csf -q
Nếu bạn thấy thông báo sau khi vào csf trên DirectAdmin hay cPanel tức là CSF đang chạy

CSF đã được bật và đang chạy

3. Chuyển đổi qua lại giữa các mức bảo mật của CSF
Mặc định, CSF có 3 level bảo mật. Bạn có thể chuyển đổi qua lại giữa 3 mức này tùy trường hợp.
VD: Thấy server đang bị DoS có thể chuyển qua mức cao nhất

- Login vào DirectAdmin (Tài khoản admin) hoặc cPanel (Tài khoản root)
- Click chọn chức năng "ConfigServer Firewall&Security"
- Chọn tiếp mục Firewall Security Level

Chọn Firewall Security Level để thay đổi mức độ bảo vệ

- Ở màn hình tiếp theo bạn chọn 1 trong 3 mức: Low (Thấp), Medium (Trung bình), Hight (Cao)

Chọn mức độ bảo vệ tương ứng

4. Cách chặn và luôn chấp nhận 1 IP nào đó như thế nào ?
Khi bạn chặn 1 ip trên csf thì IP đó sẽ bị chặn bằng iptables, do đó các kết nối từ ip này gửi đến không thế lên tầng mạng nên sẽ giảm đáng kể tài nguyên so với việc chặn bằng .htaccess hay cách khác tương tự.
Trong 1 số trường hợp bạn cần đưa IP nào đó vào Whitelist (Ví dụ: IP của bạn, IP của người quản trị server) để các IP này luôn được chấp nhận kết nối mà không bị chặn nhầm
=> Bạn có thể thực hiện thông qua csf nếu không biết gì về IPtables 

+ Để chấp nhận 1 IP vào whitelist bạn nhập IP cần ô khoanh đỏ bên dưới rồi bấm "Quick Allow"

Cách Allow nhanh 1 IP

+ Để chặn vĩnh viễn 1 IP, bạn nhập IP cần ô khoanh đỏ bên dưới rồi bấm "Quick Deny"

Cách chặn nhanh 1 IP

+ Để cấm tạm thời 1 IP nào đó hay Allow tạm thời 1 IP nào đó bạn có thể làm như hình sau:
Ô thứ nhất: Chọn Block (Cấm) hoặc Allow (Chấp nhận)
Ô thứ 2: IP cần Block hay cần Allow là gì ?
Ô thứ 3: Thời gian cấm hoặc Allow là bao nhiêu ?

Cách chặn hoặc allow tạm thời 1 IP

+ Để mở khóa cho 1 IP đang bị cấm bạn nhập IP vào ô đỏ bên dưới rồi bấm "Unblock"

Cách mở khóa 1 IP

5. Xem danh sách IP bị cấm và danh sách IP được Allow

Cách xem danh sách các IP đang được Allow hay chặn

Khi xem danh sách, bạn có thể xóa bớt đi rồi bấm change để cập nhật thay đổi. Đối với IP bị cấm, sẽ có lý do bị cấm hiện bên cạnh để bạn dễ theo dõi

Danh sách các IP đang bị chặn và lý do

5. Mở Port trên CSF
Mặc định, khi cài CSF thì CSF đã kiểm trên trên server của bạn đang chạy những dịch vụ nào thì CSF sẽ mở những port của các dịch đó để người dùng có thể truy cập.
Tuy nhiên, sau khi cài bạn thay đổi port của 1 dịch vụ nào đó. Ví dụ thay đổi port của SSH, không dùng port 22 nữa thì sao ?
Nếu bạn ko chỉnh lại trên CSF thì khi bạn không thể truy cập vào SSH bằng port mới mà IP của bạn sẽ bị CSF cấm luôn vì tội Scan Port 

Vì vậy, trước khi đổi port 1 dịch vụ nào đó, bạn nên mở port đó trên CSF trước rồi chuyển nhé 

Để mở port, bạn có thể cấu hình ở mục như hình sau trong mục Firewall Configuration

Cách mở port trên CSF

Sẽ có 2 mục Port setting như trong hình (Mỗi mục có 2 phần là IN và OUT), 1 mục để cấu hình trên IPv4, 1 mục để cấu hình trên IPv6, nếu bạn không dùng IPv6 bạn chỉ việc chỉnh trên vùng Port setting đầu là được.

7. Cấu hình chống DoS và Flood
Mặc định, CSF đã có những thiết lập cho việc này rồi, nhưng bạn cũng có thể chỉnh lại thei ý mình.
Ví dụ: Bạn chỉ nhận 1 gói tin ICMP (Ping) từ 1 IP trong 1 giây thôi thì trong mục Firewall Configuration bạn có thể chỉnh nó

cấu hình csf chống ping flood

Tương tự như vậy, còn nhiều phần khác về cấu hình chống Syn Flood, UDP Flood .... các bạn tự tìm hiểu thêm.
Và lưu ý rằng, cái firewall vào mà ko cấu hình gì thì cũng như không cài mà thôi 

8. Chặn truy cập từ 1 nước nào đó
Bạn có thể chặn truy cập từ 1 trước nào đó thật dễ dàng bằng CSF 
Ví dụ, bạn muốn chặn truy cập từ Mỹ, Trung Quốc thì bạn làm như sau:
Vào mục Firewall Configuration như mục 2.1, nhập mã quốc gia (2 ký tự) của 1 nước này vào ô CC_DENY rồi cuộn xuống cuối trang bấm change và restart lại csf và ldf là xong

Cách chặn truy cập từ 1 quốc gia nào đó

Lưu ý: Không lạm dụng chức năng này, chỉ sử dụng khi thật cần thiết vì nó có thể làm chậm server của bạn và dữ liệu kiểm tra 1 ip của nước nào không thật chính xác 100%

9. SPAMHAUS và BOGO là nó là thứ gì ?

Đây là 2 tổ chức cập nhật danh sách các IP được coi là Spam và chuyên đi tấn công cho cộng đồng. CSF hỗ trợ tự động cập nhật danh sách các IP này và cấm chúng.

Vì vậy mà khi bạn vừa cài CSF xong bạn đã thấy 1 đống IP trong bảng luật của IPtables.

Thật ra, mình không thật cần dùng 2 cái danh sách này vì xác xuất chúng tấn công mình là < 1%. Mà để nó chỉ tổ làm chậm quá trình kết nối mà thôi.
Hơn nữa, khi ipatbles quá nhiều luật thì có thể server của bạn sẽ phát điên lên và chẳng IP nào kết nối đến nó được nữa nên lâu lâu bạn cũng nên làm sạch danh sách bị cấm bằng cách dùng chức năng Flush All Block như hình dưới

Cách giải phóng hết các IP đang bị chặn

Quay lại Spamhaus và Bono, bạn có thể thiết lập CSF không lấy danh sách từ đó về để cập nhật vào bảng cấm nữa bằng cách vào Firewall Configuration thiết lập 2 thông số khoanh đỏ bằng 0:

Cách để CSF không tự lấy danh sách spamhaus nữa

Ngoài ra, bạn có thể sử dụng tính năng này để cập nhật danh sách các IP bị cấm vào 1 file .txt nào đó trên web rồi nhập đường dẫn file .txt đó vào đây để CSF tự lấy từ đó để cấm 

10. Gỡ bỏ CSF như thế nào ?
Nếu bạn muốn gỡ bỏ CSF, bạn có thể làm như sau

10.1 Nếu server dùng cPanel thì gõ lệnh sau:
Code:
cd /etc/csfsh uninstall.sh
10.2 Nếu server dùng DirectAdmin thì gõ lệnh sau:

Code:
cd /etc/csfsh uninstall.directadmin.sh
10.3 Trường hợp còn lại thì bạn gõ lệnh sau:

Code:
cd /etc/csfsh uninstall.generic.sh
Hướng dẫn cài đặt và cấu hình CSF chống DoS, chống Hack (ConfigServer & Firewall) - P2 Cấu hình

- File cấu hình nằm ở /etc/csf/csf.conf , các file còn lại được nhắc đến bên dưới nếu không nêu rõ đường dẫn thì đều nằm ở thư mục /etc/csf/
- Các tham số khi cấu hình có dạng ARGS = "VALUE" , trong đó
+ VALUE = "0" => Disable
+ VALUE = "1" => Enable
+ VALUE > 1 (VALUE = "20" , VALUE = "30" ... ) : giới hạn tối đa.
+ VALUE >1 (VALUE = "1800" , VALUE = "3600" ... ) : thời gian tối đa.

Bắt đầu:

Mã:

Mã:

TESTING = "0"

Mặc định khi vừa cài TESTING = "1", với TESTING = "1" thì LFD daemon (Login Fail Detect daemon) sẽ không hoạt động, do đó nếu có gì sai sót thì server cũng sẽ không block IP của bạn. Khi cảm thấy cấu hình đã ổn thì tắt TESTING để LFD bắt đầu hoạt động và chặn các IP tấn công.

Mã:

Mã:

TESTING_INTERVAL = "5"

Thời gian chạy cronjob để clear iptables nếu như TESTING=1 , tính bằng phút.

Mã:

Mã:

AUTO_UPDATES = "0"

Disable auto update

Mã:

Mã:

TCP_IN = "22,25,53,80,443"

Allow incoming TCP ports: cho ngừoi dùng kết nối đến các dịch vụ SSH, sendmail, DNS, Web trên server.

Mã:

Mã:

TCP_OUT = "25,80"

Allow outgoing TCP port: cho phép server kết nối đến web server, sendmail server khác.

Mã:

Mã:

UDP_IN = "53"

Allow incoming UDP ports: cho phép người dùng sử dụng dịch vụ DNS trên server.

Mã:

Mã:

UDP_OUT = "53"

Allow outgoing UDP ports: cho phép server truy vấn DNS bên ngoài.

Mã:

Mã:

ICMP_IN = "1"

Cho phép ping đến server.

Mã:

Mã:

ICMP_IN_RATE = "1/s"

Giới hạn tần số ping đến server là 1/s. Nếu ping nhanh hơn tốc độ này sẽ nhận được "Request timeout" . Trong trường hợp nếu nhiều người cùng ping đến server cùng lúc , thì phần lớn sẽ nhận được các phản hồi "Request timeout" do server chỉ nhận 1 request/s , điều này làm chúng ta lầm tưởng kết nối mạng có vấn đề , mạng bị chập chờn nhưng thật ra không phải như vậy . Chỉ cần nâng thông số này lên cao một chút hoặc bỏ luôn ( set giá trị = 0 ) sẽ khắc phục được tình trạng trên.

Mã:

Mã:

ETH_DEVICE = "eth0"

Mặc định csf sẽ cấu hình iptables để filter traffic trên toàn bộ các card mạng , ngoại trừ card loopback . Nếu như bạn muốn rules iptables chỉ applied vào card mạng "eth0" thì khai báo ở đây.

Mã:

Mã:

ETH_DEVICE_SKIP = "eth1"

Nếu bạn không muốn rules iptables không applied vào card mạng nào thì khai báo ở đây. Ví dụ card "eth1" là card local , bạn không muốn filter trên card này thì cấu hình như trên.

Mã:

Mã:

DENY_IP_LIMIT = "500

"
Giới hạn số lượng IP bị block "vĩnh viễn" bởi CSF (các IP này được lưu trong file /etc/csf/csf.deny). Con số này tùy thuộc vào resource của mỗi server, nếu dùng VPS thì con số này vào khoảng "200" là hợp lý , còn dedicated server thì khoảng "500". Khi số lượng IP bị block vượt qua con số này , csf sẽ tự động unblock IP cũ nhất (IP ở dòng 1 của file /etc/csf/csf.deny)

Mã:

Mã:

LF_DAEMON = "1"

Enable tính năng Login fail detection.

Mã:

Mã:

LF_CSF = "1"

Tự động restart CSF khi csf bị stop.

Mã:

Mã:

PACKET_FILTER = "1"

Filter các gói tin TCP không hợp lệ (INVALID state như : sequence number không đúng , kết nối ko được thực hiện đủ qua 3 bước bắt tay ... )

Mã:

Mã:

IPV6 = "0"

Disable IPV6 support

Mã:

Mã:

SYNFLOOD = "1"SYNFLOOD_RATE = "30/s"SYNFLOOD_BURST = "40"

Enable synflood protection : Nếu 1 IP gửi 30 cú SYN trong vòng 1s và số lượng SYN connection tồn tại trên server đạt trên 40 thì block IP đó (temp block)

Mã:

Mã:

CONNLIMIT = "80;20"

Giới hạn số lượng new concurrent connection đến server trên mỗi IP. Ví dụ trên có nghĩa : mỗi IP được phép mở 20 concurrent new connection đến port 80 trên server.

Mã:

Mã:

PORTFLOOD = "80;tcp;20;5"

Giới hạn số lượng connection đến một port cụ thể trong một khoảng thời gian nhất định. Ví dụ như trên có nghĩa : nếu nhiều hơn 20 kết nối tcp đến port 80 trong vòng 5s thì block IP đó tối thiểu 5s tính từ packet cuối cùng của IP đó. Sau 5s IP đó sẽ tự động được unlock và truy cập bình thường.

Mã:

Mã:

DROP_NOLOG = "10050,10051"

Danh sách các port khi bị drop sẽ không cần phải ghi vào log

Mã:

Mã:

CONNLIMIT_LOGGING = "1"

Ghi log các IP vượt quá giới hạn CONNLIMIT cấu hình ở bước trên.

Mã:

Mã:

LF_ALERT_TO = "your_email@your_domain.com"

Mặc định toàn bộ email thông báo sẽ được gửi về root của server . Nếu bạn muốn gửi đến địa chỉ email khác thì khai báo ở đây.

Mã:

Mã:

LF_PERMBLOCK = "1"LF_PERMBLOCK_INTERVAL = "86400"LF_PERMBLOCK_COUNT = "6"LF_PERMBLOCK_ALERT = "1"

Enable tính năng block vĩnh viễn một IP . Nếu một IP bị temp ban (ban tạm) 6 lần khi vi phạm các rule sẽ block ip này 86400s ( 1 ngày) đồng thời gửi email về cho ngừoi quản trị biết.

Mã:

Mã:

LF_TRIGGER = "1"

Enable tính năng Login Fail Detect cho từng dịch vụ cụ thể (được khai báo bên dưới)

Mã:

Mã:

LF_TRIGGER_PERM = "1"

Khi LF_TRIGGER = "1" thì có thể enable LF_TRIGGER_PERM để kích hoạt block IP permanent
+ LF_TRIGGER_PERM = "1" => IP sẽ bị block permanent
+ LF_TRIGGER_PERM = "86400" => IP sẽ bị block 1 ngày

Mã:

Mã:

LF_SELECT = "1"

Khi một IP vi phạm các rule của LFD thay vì block toàn bộ traffic từ IP này đến server thì chỉ block traffic đến dịch vụ mà IP này login fail (ví dụ login ftp sai nhiều lần thì block truy cập đến FTP nhưng vẫn cho phép truy cập vào website)

Mã:

Mã:

LF_EMAIL_ALERT = "1"

Gửi email thông báo nếu một IP bị block bởi các trigger bên dưới

Mã:

Mã:

LF_SSHD = "5"LF_SSHD_PERM = "1"

Nếu login SSH sai 5 lần thì sẽ bị block IP (temp block)
Nếu bị temp block lớn hơn số lần quy định ở LF_PERMBLOCK_COUNT (cấu hình bước trên ) thì sẽ block permanent.

Mã:

Mã:

LF_FTPD = "0"LF_FTPD_PERM = "1"

Không kích hoạt login fail detect cho dịch vụ FTP.

Tương tự cho các dịch vụ còn lại bên dưới ( SMTP , POP3 , IMAP , .htpasswd , mod_security ... )

Mã:

LF_SSH_EMAIL_ALERT = "0"

Không gửi email thông báo khi có một ai đó login thành công thông qua SSH

Mã:

LF_SU_EMAIL_ALERT = "0"

Không gửi email thông báo khi có một người dùng "su" (switch user) qua người dùng khác. Không gửi email khi họ dùng lệnh "su" , bất kể "su" thành công hoặc thất bại.

Mã:

Mã:

LF_DIRWATCH = "3600"

LFD sẽ check thư mục /tmp và /dev/shm định kỳ sau mỗi 3600s , nếu phát hiện ra các file nghi vấn là file độc hại sẽ gửi email thông báo đến cho chúng ta. Thường thì trên server thư mục, /temp và /dev/shm phân quyền cho phép mọi người dùng có quyền ghi trên thư mục này , do đó các attacker lợi dụng điều này để ghi mã độc vào đây (các file để back connect , local root exploit ... )

Mã:

Mã:

LF_DIRWATCH_DISABLE = "1"

Khi phát hiện ra các file nghi vấn ở thư mục /tmp và /dev/shm sẽ mv chúng khỏi 2 thư mục trên và append vào file /etc/csf/suspicious.tar , thuận tiện cho chúng ta theo dõi , phân tích về sau và phần nào vô hiệu hóa cuộc tấn công của attacker.

Mã:

Mã:

LF_DIRWATCH_FILE = "60"

Theo dõi sự thay đổi của các file và thư mục , nếu có thay đổi gửi email thông báo về cho chúng ta. Để theo dõi file/thư mục nào thì add chúng vào file csf.dirwatch. Cấu hình như trên thì 60s chạy 1 lần.

Mã:

Mã:

LF_INTEGRITY = "0"

Kiểm tra tính toàn vẹn của hệ điều hành bằng cách so sánh MD5 của các file binary khi LFD start với MD5 của các file đó lúc kiểm tra. Nếu khác nhau thì sẽ gửi email thông báo. Tính năng này có thể sẽ hoạt động không chính xác khi hệ thống update và sẽ tăng I/O , load của server do phải tính toán MD5 rất nhiều lần. 

Mã:

Mã:

LF_DISTATTACK = "0"

Phát hiện tấn công brute force từ mạng botnet. Nếu như một account bị login sai quá giới hạn cho phép từ nhiều IP khác nhau thì sẽ block toàn bộ IP đã login sai.

Mã:

Mã:

LF_DISTATTACK_UNIQ = "2"

Số lượng IP tối thiểu để nhận biết đây là tấn công phân tán.

Mã:

Mã:

LT_POP3D = "30"

Block login POP3 nếu một account được login nhiều hơn 30 lần trong 1 giờ từ 1 IP. Tương tự cho LT_IMAPD.

Mã:

Mã:

LT_EMAIL_ALERT = "0"

Send email khi một account vượt quá giới hạn cho phép của LT_IMAPD và LT_POP3D

Mã:

Mã:

LT_SKIPPERMBLOCK = "0"

Không áp dụng permanent block cho LT_POP3D/LT_IMAPD

Mã:

Mã:

CT_LIMIT = "300"

Giới hạn số lượng connection từ một IP đến server . Nếu số lượng đó vượt quá 300 thì temp block IP đó.

Mã:

Mã:

CT_INTERVAL = "30"

Các lần scan để kiểm tra cách nhau 30s.

Mã:

Mã:

CT_EMAIL_ALERT = "1"

Gửi email thông báo nếu một IP bị block bởi connection tracking.

Mã:

Mã:

CT_PERMANENT = "0"

Disable block permanent cho connectiong tracking.

Mã:

Mã:

CT_BLOCK_TIME = "1800"

Thời gian block một IP nếu như vi phạm Connection tracking limit.

Mã:

Mã:

CT_SKIP_TIME_WAIT = "0"

Khi đếm số lượng connection từ 1 IP đến server thì bỏ qua trạng thái TIME_WAIT của connection , không đếm trạng thái này.

Mã:

Mã:

CT_STATES = "SYN_RECV"

Chỉ đếm các kết nối ở trạng thái SYN_RECV

Mã:

Mã:

CT_PORTS = "80,443"

Chỉ áp dụng connection tracking cho các kết nối đến port 80 và 443.

Mã:

Mã:

PS_INTERVAL = "300"PS_LIMIT = "15"

Trong 500s nếu kết nối đến nhiều hơn 15 port không có trên server sẽ block IP đó.

Mã:

Mã:

PS_PORTS = "0:65535,ICMP"

Giới hạn range port sẽ được theo dõi.

Mã:

Mã:

PS_PERMANENT = "0"

IP bị block bởi Port Scan Tracking sẽ là temp block hoặc là permanent : 
PS_PERMANENT = "0" : IP bị temp block
PS_PERMANENT = "1" : IP bị block permanent.

Mã:

Mã:

PS_BLOCK_TIME = "3600"

Nếu PS_PERMANENT = "0" thì đây là thời gian temp block của một IP.

Mã:

Mã:

PS_EMAIL_ALERT = "1"

Gửi email thông báo khi có một IP bị block.

Mặc định thì CSF gửi toàn bộ email về địa chỉ đã cấu hình ở phần "LF_ALERT_TO" , nếu trường hợp đặc biệt bạn muốn vài thông báo nào đó gửi về email khác thì có thể chạy một trong các lệnh sau: (nhớ chọn đúng phần alert muốn gửi để chạy lệnh)

Mã:

perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/connectiontracking.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/exploitalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/filealert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/loadalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/logfloodalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/netblock.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/permblock.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/portknocking.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/portscan.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/resalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/scriptalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/tracking.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/usertracking.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/watchalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/x-arf.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/alert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/sshalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/processtracking.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/sualert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/integrityalert.txt
perl -i -p -e 's/To: root/To: your_email\@gmail.com/g;' /etc/csf/accounttracking.txt

Với :

Mã:

/etc/csf/alert.txt - for port blocking emails
/etc/csf/tracking.txt - for POP3/IMAP blocking emails
/etc/csf/connectiontracking.txt - for connection tracking emails
/etc/csf/processtracking.txt - for process tracking alert emails
/etc/csf/usertracking.txt - for user process tracking alert emails
/etc/csf/sshalert.txt - for SSH login emails
/etc/csf/sualert.txt - for SU alert emails
/etc/csf/uialert.txt - for UI alert emails
/etc/csf/scriptalert.txt - for script alert emails
/etc/csf/filealert.txt - for suspicious file alert emails
/etc/csf/watchalert.txt - for watched file and directory change alert emails
/etc/csf/loadalert.txt - for high load average alert emails
/etc/csf/resalert.txt - for process resource alert emails
/etc/csf/exploitalert.txt - for system exploit alert emails
/etc/csf/integrityalert.txt - for system integrity alert emails
/etc/csf/relayalert.txt - for email relay alert emails
/etc/csf/portscan.txt - for port scan tracking alert emails
/etc/csf/permblock.txt - for temporary to permanent block alert emails
/etc/csf/netblock.txt - for netblock alert emails
/etc/csf/accounttracking.txt - for account tracking alert emails
/etc/csf/queuealert.txt - for email queue alert emails
/etc/csf/logfloodalert.txt - for log file flooding alert emails
/etc/csf/cpanelalert.txt - for WHM/cPanel account access emails
/etc/csf/portknocking.txt - for Port Knocking alert emails

Share This:

• Like
• Tweet
• +
• Pin it

Post Tags:

Security

• Prevoius
• Next