डेबियन/उबंटू पर कॉन्फिग सर्वर फ़ायरवॉल (सीएसएफ) कैसे स्थापित करें?
ConfigServer और Security Firewall, जिसे CSF के रूप में संक्षिप्त किया गया है, एक खुला स्रोत और उन्नत फ़ायरवॉल है जिसे Linux सिस्टम के लिए डिज़ाइन किया गया है। यह न केवल फ़ायरवॉल की बुनियादी कार्यक्षमता प्रदान करता है बल्कि लॉगिन/घुसपैठ का पता लगाने, शोषण जांच, मृत्यु सुरक्षा के पिंग और बहुत कुछ जैसे ऐड-ऑन सुविधाओं की विस्तृत श्रृंखला भी प्रदान करता है।
[आप यह भी पसंद कर सकते हैं: लिनक्स सिस्टम के लिए 10 उपयोगी ओपन सोर्स सुरक्षा फ़ायरवॉल]
इसके अतिरिक्त, यह ConfigServer की आधिकारिक वेबसाइट के लिए UI एकीकरण भी प्रदान करता है।
इस गाइड में, हम आपको डेबियन और उबंटू पर कॉन्फिगसर्वर सिक्योरिटी एंड फायरवॉल (सीएसएफ) की स्थापना और कॉन्फ़िगरेशन के बारे में बताएंगे।
चरण 1: डेबियन और उबंटू पर सीएसएफ फ़ायरवॉल स्थापित करें
सबसे पहले, आपको CSF फ़ायरवॉल स्थापित करने के साथ आरंभ करने से पहले कुछ निर्भरताएँ स्थापित करने की आवश्यकता है। अपने टर्मिनल पर, पैकेज इंडेक्स अपडेट करें:
$ sudo apt update
अगला, दिखाए गए अनुसार निर्भरताएँ स्थापित करें:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
उस रास्ते से बाहर, अब आप अगले चरण पर आगे बढ़ सकते हैं।
चूंकि CSF डिफ़ॉल्ट डेबियन और उबंटू रिपॉजिटरी में शामिल नहीं है, इसलिए आपको इसे मैन्युअल रूप से इंस्टॉल करना होगा। आगे बढ़ने के लिए, सीएसएफ टैरबॉल फ़ाइल डाउनलोड करें जिसमें निम्न wget कमांड का उपयोग करके सभी इंस्टॉलेशन फ़ाइलें शामिल हैं।
$ wget http://download.configserver.com/csf.tgz
यह csf.tgz नामक एक संपीड़ित फ़ाइल डाउनलोड करता है।
अगला, संपीड़ित फ़ाइल को निकालें।
$ tar -xvzf csf.tgz
यह csf नाम का फोल्डर बनाता है।
$ ls -l
इसके बाद, csf फ़ोल्डर में नेविगेट करें।
$ cd csf
फिर दिखाए गए इंस्टॉलेशन स्क्रिप्ट को चलाकर CSF फ़ायरवॉल इंस्टॉल करें।
$ sudo bash install.sh
यदि सब कुछ ठीक रहा, तो आपको दिखाए गए अनुसार आउटपुट मिलना चाहिए।
इस बिंदु पर, सीएसएफ स्थापित है। हालाँकि, आपको यह सत्यापित करने की आवश्यकता है कि आवश्यक iptables लोड किए गए हैं। इसे प्राप्त करने के लिए, कमांड चलाएँ:
$ sudo perl /usr/local/csf/bin/csftest.pl
चरण 2: डेबियन और उबंटू पर सीएसएफ फ़ायरवॉल को कॉन्फ़िगर करें
कुछ अतिरिक्त कॉन्फ़िगरेशन की आवश्यकता है अगला, हमें CSF को सक्षम करने के लिए कुछ सेटिंग्स को संशोधित करने की आवश्यकता है। तो, csf.conf कॉन्फ़िगरेशन फ़ाइल पर जाएं।
$ sudo nano /etc/csf/csf.conf
नीचे बताए अनुसार परीक्षण निर्देश को 1 से 0 में संपादित करें।
TESTING = "0"
इसके बाद, केवल RESTRICT_SYSLOG_GROUP के सदस्यों के लिए rsyslog/syslog पहुंच को प्रतिबंधित करने के लिए RESTRICT_SYSLOG निर्देश को 3 पर सेट करें।
RESTRICT_SYSLOG = "3"
इसके बाद, आप TCP_IN, TCP_OUT, UDP_IN, और UDP_OUT निर्देशों का पता लगाकर TCP और UDP पोर्ट खोल सकते हैं।
डिफ़ॉल्ट रूप से, निम्न पोर्ट खोले जाते हैं।
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
संभावना है कि आपको उन सभी बंदरगाहों को खोलने की आवश्यकता नहीं है, और सर्वोत्तम सर्वर प्रथाओं की मांग है कि आप केवल उन बंदरगाहों को खोलें जिनका आप उपयोग कर रहे हैं। हम अनुशंसा करते हैं कि आप सभी अनावश्यक बंदरगाहों को हटा दें और उन्हें छोड़ दें जो आपके सिस्टम पर चल रही सेवाओं द्वारा उपयोग किए जाते हैं।
एक बार जब आप अपनी ज़रूरत के पोर्ट निर्दिष्ट कर लेते हैं, तो दिखाए गए अनुसार CSF को पुनः लोड करें।
$ sudo csf -r
सर्वर पर परिभाषित सभी IP तालिका नियमों को सूचीबद्ध करने के लिए, कमांड चलाएँ:
$ sudo csf -l
आप स्टार्टअप पर CSF फ़ायरवॉल को निम्नानुसार प्रारंभ और सक्षम कर सकते हैं:
$ sudo systemctl start csf $ sudo systemctl enable csf
फिर पुष्टि करें कि वास्तव में फ़ायरवॉल चल रहा है:
$ sudo systemctl status csf
चरण 3: सीएसएफ फ़ायरवॉल में आईपी पते को अवरुद्ध करना और अनुमति देना
फ़ायरवॉल की प्रमुख कार्यक्षमताओं में से एक आईपी पते को सर्वर तक पहुँचने की अनुमति देने या ब्लॉक करने की क्षमता है। CSF के साथ, आप निम्न कॉन्फ़िगरेशन फ़ाइलों को संशोधित करके श्वेतसूची (अनुमति), ब्लैकलिस्ट (अस्वीकार) या IP पतों को अनदेखा कर सकते हैं:
- csf.allow
- सीएसएफ.इनकार
- csf.ignore
किसी IP पते को ब्लॉक करने के लिए, बस csf.deny कॉन्फ़िगरेशन फ़ाइल तक पहुँचें।
$ sudo nano /etc/csf/csf.deny
फिर उन IP पतों को निर्दिष्ट करें जिन्हें आप ब्लॉक करना चाहते हैं। जैसा कि दिखाया गया है, आप लाइन द्वारा आईपी पते निर्दिष्ट कर सकते हैं:
192.168.100.50 192.168.100.120
या आप संपूर्ण सबनेट को ब्लॉक करने के लिए CIDR संकेतन का उपयोग कर सकते हैं।
192.168.100.0/24
Iptables के माध्यम से एक आईपी पते की अनुमति देने के लिए और इसे सभी फिल्टर या ब्लॉक से बाहर करने के लिए, csf.allow कॉन्फ़िगरेशन फ़ाइल को संपादित करें।
$ sudo nano /etc/csf/csf.allow
आप प्रति पंक्ति एक आईपी पता सूचीबद्ध कर सकते हैं, या सीआईडीआर एड्रेसिंग का उपयोग कर सकते हैं जैसा कि आईपी को अवरुद्ध करते समय पहले दिखाया गया था।
नोट: एक आईपी पते की अनुमति तब भी दी जाएगी जब इसे csf.deny कॉन्फ़िगरेशन फ़ाइल में स्पष्ट रूप से परिभाषित किया गया हो। यह सुनिश्चित करने के लिए कि एक आईपी पता अवरुद्ध या काली सूची में है, सुनिश्चित करें कि यह csf.allow फ़ाइल में सूचीबद्ध नहीं है।
इसके अतिरिक्त, CSF आपको IP तालिका या फ़िल्टर से किसी IP पते को बाहर करने की क्षमता प्रदान करता है। Csf.ignore फ़ाइल में किसी भी IP पते को iptables फ़िल्टर से छूट दी जाएगी। इसे केवल तभी ब्लॉक किया जा सकता है जब csf.deny फ़ाइल में निर्दिष्ट किया गया हो।
किसी IP पते को फ़िल्टर से छूट देने के लिए, csf.ignore फ़ाइल तक पहुँचें।
$ sudo nano /etc/csf/csf.ignore
एक बार फिर, आप आईपी लाइन को लाइन से सूचीबद्ध कर सकते हैं या सीआईडीआर नोटेशन का उपयोग कर सकते हैं।
और वह आज हमारे गाइड को लपेटता है। हम आशा करते हैं कि अब आप बिना किसी रोक-टोक के CSF फ़ायरवॉल को स्थापित और कॉन्फ़िगर कर सकते हैं।