Press "Enter" to skip to content

CSF Kurulum ve ayarları (İnce ayarlar)

CSF (Config Server Firewall) en detaylı anlatımı

CSF (Config Server Firewall) için piyasada birsürü optimizasyon ayarları var incelediğimde birçoğu sadece SSH ile kurulumundan bahsetmiş kalan birkaç tanesi ise sadece birkaç kısmını anlatmış oysaki CSF onlarca ince ayar yapabileceğiniz gelişmiş bir yazılımsal Firewall’dır.

Öncelikle herkes gibi basit şekilde bir sunucuda CSF yoksa kurulumu için SSH üzerinden aşağıdaki işlemleri takip ederek sunucuya kurulumunu yapın.

/*---Kurulum---*/
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

/*---Kaldırma---*/
cd /etc/csf
sh uninstall.sh

Şimdi CSF kurulum ve kaldırma kodlarını verdik SSH üzerinden her satırı tek tek uyguladığınızda sunucuya kurulumu yapılacaktır. Kurulumu yaptığınızı varsayarak devam ediyorum şimdi ayarlar kısmına geçelim.

Not: Öncelikle bilmeniz gereken bir kısım var oda şu ki CSF kurulum ardından bize bir hazır ayarlar profili sunuyor dilerseniz o ayarları kullanabilirsiniz (Uğraşmak istemeyenler için.)

Basit kurulum (Hızlı ayarların aktif edilmesi)

CSF Kurulum ve ayarları (İnce ayarlar)

Bu kısımda Firewall profiles kısmından profil seçeneklerine girin aşağıdaki gibi profilleri greceksiniz.

CSF Kurulum ve ayarları (İnce ayarlar)

Burada gördüğünüz gibi önemli olanları işaretledim.

High: Yüksek güvenlik (otu boku engeller 🙂 )

Low: Düşük koruma önerim bu olur genellikle daha gevşek kuralları uygular.

Medium: Orta seviye koruma sağlar ancak üst seviyeye yakın olduğu için banlama yapabilir olur olmaz yerlerde 😀

İstediğiniz kuralı uyguladıktan arkanıza yaslanabilirsiniz çünkü CSF tüm ayarları sizin için yapmış olacak ancak unutmadan belirtmek isterim ki TEST kısmını kapatmanız gerekiyor ayarları seçmiş olsanız dahi aşağıdaki gibi yapın configuration kısmına girerek.

CSF Kurulum ve ayarları (İnce ayarlar)

Üst seviye ayarları (İnce ayarlar)

Şimdi CSF en ince ayrıntısına kadar ayarlarını ele alalım ve  kendimize göre ayarlamaya çalışalım. CSF için hazırlanan en baba dökümanı sizlere sunuyorum buyrun inceleyin 🙂

Ayarlar kısmında adım adım tüm seçenekleri ince ayrıntısına kadar inceleyelim.

RESTRICT_SYSLOG = 3

Syslog için detaylı bilgi veriyor üst kısımda inceleyebilirsiniz ancak ingiliççe 😀  daha fazla bilgi için bkz.
/etc/csf/readme.txt

0 = Yukarıda listelenen seçeneklerin kullanılmasına ve yapılandırılmasına izin ver
1 = Yukarıda listelenen tüm seçenekleri devre dışı bırakın ve kullanılmalarını engelleyin.
2 = Bu özellik hakkında sadece uyarıları devre dışı bırak ve başka hiçbir şey yapma
3 = syslog / rsyslog erişimini RESTRICT_SYSLOG_GROUP ** ile sınırlayın ** ÖNERİLEN **

RESTRICT_SYSLOG_GROUP =mysyslog

RESTRICT_SYSLOG değerini başka bir seçeneğe döndürmek ve bunu devre dışı bırakmak isterseniz özelliği, RESTRICT_SYSLOG ayarını değiştirin ve sonra lfd’yi yeniden başlatın ve sonra syslog / rsyslog ve unix soketleri sıfırlanacak

RESTRICT_UI =0

Bu seçenek CSF ayarlarını kısıtlamaya yarar kullanıcı arayüzünden ayarlarınd eğiştirilmesini önlemek için bu değeri 1 yapın bu durumda sadece SSH üzerinden değiştirilebilir hale gelir. benim önerim sunucuyu sadece siz kullanıyorsanız 0 olmasıdır acil durumlarda SSH girmeye uğraşmazsınız.

AUTO_UPDATES =

İsminden de anlaşılacağı üzere otomatik güncellemeleri kendisi yapsın mı ? evet yapsın sürekli ben takip edemem diyorsanız güzel bir seçenek.

IPv4 Port ayarları

LF_SPI =

Bu seçeneğin devre dışı bırakılması, güvenlik duvarının işlevselliğini bozar.
Durumlu paket denetimi (ör. DNAT, PACKET_FILTER) ve güvenlik duvarını daha az güvenli yapar

Diğer tüm durumlarda bu seçenek “1” olarak ayarlanmalıdır.

(Giriş) TCP_IN =

Burada izin vermek istediğiniz portları yazmanız gerekmektedir aşağıdaki portları ekleyebilirsiniz tabi sizin ekstra bir port ekleme durumunuz olabilir

20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2079,2080,2082,2083,2086,2087,2095,2096,14610,26,7080,70,26,49152:65534

(Çıkış) TCP_OUT =

Aynı şekilde çıkış portları da  bu kısıma belirtmeniz gerekmektedir. aşağıdakileri ekleyebilirsiniz.

20,21,22,25,37,43,53,80,110,113,443,587,873,993,995,2086,2087,2089,2703,465,26

UDP_OUT =

Giden UDP bağlantı noktalarına izin ver
Giden traceroute izin vermek için bu listeye 33434: 33523 ekleyin

20,21,53,113,123,873,6277,24441,22,26, 33434:33523, 49152:65534

ICMP_IN =On

Gelen PING’ye izin ver. PING’in devre dışı bırakılması, harici çalışma süresini kısaltır

ICMP_IN_RATE =0

PING istekleri için IP adresi başına gelen ICMP paket hızını ayarlayın. Bu
ratelimits PING istekleri aşıldıysa paketler sessizce reddedilir. PING’in düştüğünü görürseniz bu değeri devre dışı bırakın veya artırın.
istemiyorum

limit modülü için dokümantasyon. Örneğin, “1 / s” biriyle sınırlanır
saniye başına paket

ICMP_OUT = On

Giden PING’ye izin ver

Belirli bir neden olmadığı sürece, bu seçenek devre dışı bırakılmamalıdır.
OS işlevselliğini bozabilir

ICMP_OUT_RATE = 0

PING istekleri için IP adresi başına giden ICMP paket hızını ayarlayın. Bu
ratelimits PING istekleri aşıldıysa paketler sessizce reddedilir
 PING’in düştüğünü görürseniz bu değeri devre dışı bırakın veya artırın.
Belirli bir sebep olmadıkça, bu seçenek etkinleştirilmemelidir.
OS işlevselliğini bozabilir

limit modülü için dokümantasyon. Örneğin, “1 / s” biriyle sınırlanır
saniye başına paket

ICMP_TIMESTAMPDROP = 0

ICMP zaman damgasını belirten PCI Compliance araçları olanlar için (tip 13) Devredışı bırakılması önerilir.

İpv6 por ayarlarına ekstra olarak girmiyorum hemen hemen aynı.

Yazının devamını en kısa sürede yayınlayacağım bu yazıyı çok uzun tutmak istemiyorum.

Devamı için tıkılatın: CSF Ayarlar sayfa 2

Buna benzer diğer yazılarım

Paket Analizcisi: TCPDUMP 15 Komutu Örneği Tcpdump komutu paket analizcisi olarak adlandırılır. tcpdump komutu unix işletim sisteminin birçok çeşidi üzerinde çalışmaktadır. Tcpdump, paketle...
Çok kullanılan Programlama Dilleri listesi Merhabalar efenim, Bu yazıda en çok kullanılan 250 programlama dilini paylaşmak istedim. merak edenler veya yeni dil öğrenmek isteyif klasikleşmişl...
En iyi forum Scripti Merhaba beyler bu yazımızda sizinle En iyi forum Scripti'ni inceleyelim. Ücretli ve ücretsiz forum scriptleri olarak ikiye ayıralım öncelikle bu konuy...
Optimize edilmiş .Htaccess Merhaba değerli arkadaşlar. Bu yazıda Optimize edilmiş .Htaccess dosyası vereceğim. gerek hız gerek sıkıştırma gerekse güvenlik alanında en iyi şek...
Yeni nesil Tarayıcı Vivaldi Merhaba arkadaşlar bu yazımda size yeni nesil bir tarayıcı Vivaldi'den bahsedeceğim biraz. Vivaldi nedir ne değildir ne işe yarar diğerlerinden far...
Premium Seo Pack Türkçe Dil dosyası Merhabalar değerli dostlar, Premium Seo Pack Türkçe Dil dosyası mevcutta yoktu bildiğiniz üzere eklenti yapımcı ekibi dil paketi eklememekte ısrarcı o...

Bu yazı 118 Defa okundu. Diğer yazılarımı da oku süper yazarım :)

||||

Ali Çömez
Ali Çömez

Kaldırımda yürürken beyaz çizgilere basmamaya çalışan, Sabah yüzünü yıkarken dirseklerinden su sızmasından nefret eden, Dönerle ayranı aynı anda bitirebilen, son dakikada otobüsü kaçırsada grur yapıp arkasından koşmayan... bir insanım :)

View all posts

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir