Press "Enter" to skip to content

CSF Kurulum ve ayarları (İnce ayarlar)

CSF (Config Server Firewall) en detaylı anlatımı

CSF (Config Server Firewall) için piyasada birsürü optimizasyon ayarları var incelediğimde birçoğu sadece SSH ile kurulumundan bahsetmiş kalan birkaç tanesi ise sadece birkaç kısmını anlatmış oysaki CSF onlarca ince ayar yapabileceğiniz gelişmiş bir yazılımsal Firewall’dır.

Öncelikle herkes gibi basit şekilde bir sunucuda CSF yoksa kurulumu için SSH üzerinden aşağıdaki işlemleri takip ederek sunucuya kurulumunu yapın.

/*---Kurulum---*/
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

/*---Kaldırma---*/
cd /etc/csf
sh uninstall.sh

Şimdi CSF kurulum ve kaldırma kodlarını verdik SSH üzerinden her satırı tek tek uyguladığınızda sunucuya kurulumu yapılacaktır. Kurulumu yaptığınızı varsayarak devam ediyorum şimdi ayarlar kısmına geçelim.

Not: Öncelikle bilmeniz gereken bir kısım var oda şu ki CSF kurulum ardından bize bir hazır ayarlar profili sunuyor dilerseniz o ayarları kullanabilirsiniz (Uğraşmak istemeyenler için.)

Basit kurulum (Hızlı ayarların aktif edilmesi)

CSF Kurulum ve ayarları (İnce ayarlar)

Bu kısımda Firewall profiles kısmından profil seçeneklerine girin aşağıdaki gibi profilleri greceksiniz.

CSF Kurulum ve ayarları (İnce ayarlar)

Burada gördüğünüz gibi önemli olanları işaretledim.

High: Yüksek güvenlik (otu boku engeller 🙂 )

Low: Düşük koruma önerim bu olur genellikle daha gevşek kuralları uygular.

Medium: Orta seviye koruma sağlar ancak üst seviyeye yakın olduğu için banlama yapabilir olur olmaz yerlerde 😀

İstediğiniz kuralı uyguladıktan arkanıza yaslanabilirsiniz çünkü CSF tüm ayarları sizin için yapmış olacak ancak unutmadan belirtmek isterim ki TEST kısmını kapatmanız gerekiyor ayarları seçmiş olsanız dahi aşağıdaki gibi yapın configuration kısmına girerek.

CSF Kurulum ve ayarları (İnce ayarlar)

Üst seviye ayarları (İnce ayarlar)

Şimdi CSF en ince ayrıntısına kadar ayarlarını ele alalım ve  kendimize göre ayarlamaya çalışalım. CSF için hazırlanan en baba dökümanı sizlere sunuyorum buyrun inceleyin 🙂

Ayarlar kısmında adım adım tüm seçenekleri ince ayrıntısına kadar inceleyelim.

RESTRICT_SYSLOG = 3

Syslog için detaylı bilgi veriyor üst kısımda inceleyebilirsiniz ancak ingiliççe 😀  daha fazla bilgi için bkz.
/etc/csf/readme.txt

0 = Yukarıda listelenen seçeneklerin kullanılmasına ve yapılandırılmasına izin ver
1 = Yukarıda listelenen tüm seçenekleri devre dışı bırakın ve kullanılmalarını engelleyin.
2 = Bu özellik hakkında sadece uyarıları devre dışı bırak ve başka hiçbir şey yapma
3 = syslog / rsyslog erişimini RESTRICT_SYSLOG_GROUP ** ile sınırlayın ** ÖNERİLEN **

RESTRICT_SYSLOG_GROUP =mysyslog

RESTRICT_SYSLOG değerini başka bir seçeneğe döndürmek ve bunu devre dışı bırakmak isterseniz özelliği, RESTRICT_SYSLOG ayarını değiştirin ve sonra lfd’yi yeniden başlatın ve sonra syslog / rsyslog ve unix soketleri sıfırlanacak

RESTRICT_UI =0

Bu seçenek CSF ayarlarını kısıtlamaya yarar kullanıcı arayüzünden ayarlarınd eğiştirilmesini önlemek için bu değeri 1 yapın bu durumda sadece SSH üzerinden değiştirilebilir hale gelir. benim önerim sunucuyu sadece siz kullanıyorsanız 0 olmasıdır acil durumlarda SSH girmeye uğraşmazsınız.

AUTO_UPDATES =

İsminden de anlaşılacağı üzere otomatik güncellemeleri kendisi yapsın mı ? evet yapsın sürekli ben takip edemem diyorsanız güzel bir seçenek.

IPv4 Port ayarları

LF_SPI =

Bu seçeneğin devre dışı bırakılması, güvenlik duvarının işlevselliğini bozar.
Durumlu paket denetimi (ör. DNAT, PACKET_FILTER) ve güvenlik duvarını daha az güvenli yapar

Diğer tüm durumlarda bu seçenek “1” olarak ayarlanmalıdır.

(Giriş) TCP_IN =

Burada izin vermek istediğiniz portları yazmanız gerekmektedir aşağıdaki portları ekleyebilirsiniz tabi sizin ekstra bir port ekleme durumunuz olabilir

20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2079,2080,2082,2083,2086,2087,2095,2096,14610,26,7080,70,26,49152:65534

(Çıkış) TCP_OUT =

Aynı şekilde çıkış portları da  bu kısıma belirtmeniz gerekmektedir. aşağıdakileri ekleyebilirsiniz.

20,21,22,25,37,43,53,80,110,113,443,587,873,993,995,2086,2087,2089,2703,465,26

UDP_OUT =

Giden UDP bağlantı noktalarına izin ver
Giden traceroute izin vermek için bu listeye 33434: 33523 ekleyin

20,21,53,113,123,873,6277,24441,22,26, 33434:33523, 49152:65534

ICMP_IN =On

Gelen PING’ye izin ver. PING’in devre dışı bırakılması, harici çalışma süresini kısaltır

ICMP_IN_RATE =0

PING istekleri için IP adresi başına gelen ICMP paket hızını ayarlayın. Bu
ratelimits PING istekleri aşıldıysa paketler sessizce reddedilir. PING’in düştüğünü görürseniz bu değeri devre dışı bırakın veya artırın.
istemiyorum

limit modülü için dokümantasyon. Örneğin, “1 / s” biriyle sınırlanır
saniye başına paket

ICMP_OUT = On

Giden PING’ye izin ver

Belirli bir neden olmadığı sürece, bu seçenek devre dışı bırakılmamalıdır.
OS işlevselliğini bozabilir

ICMP_OUT_RATE = 0

PING istekleri için IP adresi başına giden ICMP paket hızını ayarlayın. Bu
ratelimits PING istekleri aşıldıysa paketler sessizce reddedilir
 PING’in düştüğünü görürseniz bu değeri devre dışı bırakın veya artırın.
Belirli bir sebep olmadıkça, bu seçenek etkinleştirilmemelidir.
OS işlevselliğini bozabilir

limit modülü için dokümantasyon. Örneğin, “1 / s” biriyle sınırlanır
saniye başına paket

ICMP_TIMESTAMPDROP = 0

ICMP zaman damgasını belirten PCI Compliance araçları olanlar için (tip 13) Devredışı bırakılması önerilir.

İpv6 por ayarlarına ekstra olarak girmiyorum hemen hemen aynı.

Yazının devamını en kısa sürede yayınlayacağım bu yazıyı çok uzun tutmak istemiyorum.

Devamı için tıkılatın: CSF Ayarlar sayfa 2

Buna benzer diğer yazılarım

En hızlı DNS Servisi {Cloudflare} DNS: İnternet’in Dizini İnternet'teki neredeyse her şey bir DNS isteği ile başlar. DNS, İnternet’in dizinidir. Bir bağlantıya tıklayın, bir uygulam...
Whm Yandex senkronizasyon nasıl yapılır ? Whm Yandex senkronizasyon yapımını ve bu şekilde sunucunuza alınan yedeklerin anında yandex diskinize gönderilme işlemini yapacağız. Bu işlem sayes...
Google AdSense / Google Adwords açığı Çoğunuzun bildiği gibi, Google, reklamverenlerin reklam platformunu manipüle edebildiği bir AdSense kullanımını doğruladı; bu da, birçok AdSense yayın...
Yeni nesil Tarayıcı Vivaldi Merhaba arkadaşlar bu yazımda size yeni nesil bir tarayıcı Vivaldi'den bahsedeceğim biraz. Vivaldi nedir ne değildir ne işe yarar diğerlerinden far...
Doğru yola yanlış kişiyle çıkma !! Merhabalar beyler, Bu yazıda herhangi bir bilgi verici makale yazmayacağım aslında buradaki makale de sayılmaz bir nevi kamyon arkası yazılar olur ...
Türkiye’nin ilk Hosting forumu Merhabalar dostlar, Bayadır yazı yazıyordum bloğu boşladığımı hatta unutmaya başladığımı düşünüyordum 🙂 bugün panele girince sağolsun değerli takipçi...

Bu yazı 57 Defa okundu. Diğer yazılarımı da oku süper yazarım :)

||||

Ali Çömez
Ali Çömez

Kaldırımda yürürken beyaz çizgilere basmamaya çalışan, Sabah yüzünü yıkarken dirseklerinden su sızmasından nefret eden, Dönerle ayranı aynı anda bitirebilen, son dakikada otobüsü kaçırsada grur yapıp arkasından koşmayan... bir insanım :)

View all posts

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir