Tool-Tipp: ConfigServer Security & Firewall (CSF) ConfigServer Security & Firewall (CSF) installieren und einrichten

Von Thomas Joos

Mit ConfigServer Security & Firewall (CSF) können Firewalls auf Linux-Servern einfacher verwaltet werden. Das Tool setzt auf iptables, leider werden nftables noch nicht unterstützt. Mit CSF erhalten Administratoren auch eine grafische Oberfläche zur Verwaltung der Firewall-Einstellungen. Wie man mit CSF IPTables einfacher verwaltet, zeigen wir in diesem Tool-Tipp.

Firma zum Thema

In diesem Tool-Tipp zeigen wir, wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet.
In diesem Tool-Tipp zeigen wir, wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet.
(© Vasyl - stock.adobe.com)

Nicht alle Linux-Admins sind fit darin iptables auf Linux-Servern optimal zu konfigurieren, vor allem auf Linux-Desktops, bei denen erfahrungsgemäß viele Anwendungen eine Kommunikation mit dem Internet aufbauen müssen. Mit ConfigServer Security & Firewall (CSF) können iptables auf Linux-Rechnern einfacher verwaltet werden und auch eine grafische Oberfläche steht zur Verfügung. Bei CSF handelt es sich um keine eigenständige Firewall, sondern eine Schnittstelle für die Verwaltung von iptables. Leider ist CSF noch nicht in der Lage mit den modernen nftables zu arbeiten.

Wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet, zeigen wir im Tool-Tipp-Video und in der Bildergalerie.

Bildergalerie

CSF auf Ubuntu/Debian installieren

CSF wird zur Installation zunächst bei den Entwicklern heruntergeladen. Dazu kann wget im Terminal genutzt werden:

sudo wget http://download.configserver.com/csf.tgz

CSF ersetzt vorhandene Firewall-Verwaltungen. Diese sollten vor der Installation deaktiviert werden. Beim Einsatz von Ubuntu sollte die UFW in jedem Fall mit „sudo ufw disable“ deaktiviert werden.

Nach der Deinstallation von UFW kann CSF installiert werden:

sudo tar -xzf csf.tgzcd csfsudo sh install.sh

Wenn CSF nicht mehr benötigt wird, steht auch ein Skript für die Deinstallation zur Verfügung. Dieses wird mit „sudo sh uninstall.sh“ gestartet. Die Deinstallation kann bei Problemen helfen, wenn CSF csf nicht mehr ordnungsgemäß funktioniert. Wenn Einstellungen oder Regeln nicht mehr korrekt funktionieren können diese weitgehend mit „sudo csf -f“ gelöscht werden. Die wichtigsten Informationen zu den umgesetzten Regeln werden mit „sudo csf --status“ angezeigt.

CSF auf CentOS/RHEL installieren

Die Installation von CSF auf CentOS und RHEL läuft generell identisch ab. Auch hier wird die Installationsdatei heruntergeladen, extrahiert und danach über das Insatallationsskript installiert. Vor der Installation sollte die installierte Firewall in CentOS ebenfalls deaktiviert werden. CSF bietet auch ein Skript, das nach der Installation gestartet werden kann, um andere Firewalls zu deaktivieren. Dieses wird mit dem folgenden Befehl gestartet:

sudo sh remove_apf_bfd.sh

CSF anpassen

Nach der Installation kann die Konfigurationsdatei „csf.conf“ im Installationsverzeichnis, zum Beispiel „/etc/csf“ mit Nano oder vi angepasst werden. Hier ist zu sehen welche IP-Adressen und Ports durch die Firewall blockiert oder durchgelassen werden. Außerdem wird hier die Firewall vom Testmodus in den produktiven Modus versetzt. Dazu muss die Option „Testing“ auf „0“ gesetzt werden.

Die Konfiguration kann aber auch mit der grafischen Oberfläche erfolgen, die wesentlich benutzerfreundlicher ist. Wenn Änderungen an der Konfigurationsdatei vorgenommen werden, muss CSF neu gestartet werden, zum Beispiel mit „sudo csf -r“. Ob CSF funktioniert, kann mit dem folgenden Befehl getestet werden:

Sudo perl /usr/local/csf/bin/csftest.pl

CSF kann nicht nur über die Konfigurationsdatei und die Weboberfläche gesteuert werden, sondern auch im Terminal mit dem Befehl „csf“. Dieser bietet verschiedene Optionen und benötigt meistens vor der Ausführung ein „sudo“. Um die Firewall neu zu starten, wird zum Beispiel „csf -r“.

Um IP-Adressen zu blockieren, werden diese in der Datei „csf.ignore“ eingetragen. IP-Adressen, für die der Zugriff erlaubt ist, werden in der Datei „csf.allow“ gepflegt. Um IP-Adressen in die Datei „csf.allow“ aufzunehmen, ist es aber nicht gezwungenermaßen notwendig, dass die Datei editiert wird. IP-Adressen lassen sich im Terminal auch mit „csf -a <IP>“ aufnehmen. Hinter der IP-Adresse kann mit eckigen Klammern noch ein Kommentar hinterlegt werden, zum Beispiel:

sudo csf -a 192.168.23.12 [Interner Webserver]

Mit CSF lassen sich die IP-Adressen auch wieder aus der Datei entfernen. Dazu wird „sudo csf -ar <IP>“ verwendet.

Auf dem gleichen Weg können die IP-Adressen in der Datei „csf.deny“ gepflegt werden, bei der Anfragen blockiert werden. Um IP-Adressen aufzunehmen wird die Datei entweder mit einem Editor wie nano oder vi editiert oder der Befehl „sudo csf -d <IP> [Kommentar]“ verwendet. Um IP-Adressen aus der Datei zu löschen wird „sudo csf -dr <IP> verwendet. Um nach Regeln für bestimmte IP-Adressen in iptables zu suchen, wird „sudo csf -g <IP>“ verwendet.

Wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet, zeigen wir im Tool-Tipp-Video und in der Bildergalerie.

Bildergalerie

CSF mit Weboberfläche verwalten

CSF kann mit einer Perl-basierten Weboberfläche verwaltet werden, auch über das Netzwerk. Damit diese genutzt werden kann, muss am Beispiel von Ubuntu/Debian die Installation von einigen Perl-Modulen erfolgen:

sudo apt-get install libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl

Um die Weboberfläche zu nutzen, muss diese in der bereits erwähnten Datei „csf.conf“ aktiviert werden. Hier wird die Option „UI“ auf „1“ gesetzt. Über die Option „UI_PORT“ wird der Port für den Zugriff gesteuert. Einige Einstellungen sind mit der Web-UI nicht umsetzbar, bis die Option „RESTRICT_UI“ auf „0“ gesetzt wird.

In der Konfigurationsdatei werden auch Anmeldenamen und Kennwort für die Weboberfläche gesteuert. Wichtig ist noch, dass der Port der Web-UI bei „TCP_IN“ eingetragen wird, da die Firewall sonst auch diesen Port blockiert.

Zusätzlich sollten die IP-Adressen für den Zugriff auf die UI in der Datei „ui.allow“ im Unterverzeichnis „csf\ui“ festgelegt werden. LFD sollte danach ebenfalls neu gestartet werden, genauso wie CSF.

Bei Anpassungen der Konfigurationsdatei muss darauf geachtet werden, dass mit „sudo csf -r“ die Firewall neu gestartet werden muss. LFD wird mit „sudo service lfd restart“ neu gestartet. Danach sollten die Dienste problemlos einsatzbereit sein.

Wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet, zeigen wir im Tool-Tipp-Video und in der Bildergalerie.

Bildergalerie

(ID:47869731)