ConfigServer Security & Firewall (CSF)是一款基于iptables的防火墙，在后台使用iptables为Linux系统提供高级别的安全防护。

　　状态包检查(SPI)iptables防火墙非常简单，易于配置，并且通过对Linux服务器的额外检查可以轻松灵活地进行配置和保护。

　　CSF自带了一个名为Login Failure Daemon(LFD)的服务，它每隔X秒运行一次，定期扫描最新的日志文件条目，寻找登录尝试，如果它在短时间内持续失败，就会屏蔽这些IP。

　　这些行为通常被称为 "暴力攻击"。

　　Csf支持主要的Linux操作系统，如Red Hat Enterprise Linux (RHEL)、CentOS、Fedora、CloudLinux、Ubuntu、Debian、openSUSE和Slackware。

　　此外，它还支持以下控制面板，如cPanel、CentOS Web Panel (CWP)、DirectAdmin、InterWorx和Webmin。

　　如果您需要的话，也可以通过几个简单的步骤启用Web UI。

　　CSF目录结构：

　　/etc/csf/ - 配置文件

　　/var/lib/csf/ - 临时数据文件

　　/usr/local/csf/bin/ - scripts(脚本)。

　　/usr/local/csf/lib/ - perl模块和静态数据。

　　/usr/local/csf/tpl/ - 电子邮件警报模板

　　一、如何在Linux服务器上安装ConfigServer安全和防火墙(CSF)

　　安装非常简单，请按照以下步骤进行安装。

　　1、如何在Linux上安装CSF所需的Perl模块?

　　当你在系统上安装Perl时，大多数Perl模块必须默认安装，但你需要手动安装以下Perl模块。

　　对于RHEL/CentOS 6/7系统，使用yum命令安装以下Perl模块。

　　# yum install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph

　　对于RHEL / CentOS 8和Fedora系统，请使用dnf命令安装以下Perl模块。

　　# dnf install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph

　　对于Debian / Ubuntu系统，请使用apt命令或apt-get命令安装以下Perl模块。

　　# apt-get install libwww-perl liblwp-protocol-https-perl libgd-graph-perl

　　使用wget命令从以下URL 下载并安装最新的CSF存档源代码。

　　# cd /usr/src

　　# wget https://download.configserver.com/csf.tgz

　　# tar -xzf csf.tgz

　　# cd csf

　　# sh install.sh

　　完成安装后，运行“ csftest.pl”脚本以检查系统是否具有必需的iptable模块。

　　注意：您不应运行任何其他iptables防火墙配置脚本。例如，如果您以前使用过APF + BFD，则可以通过运行以下脚本将其删除。

　　# sh /usr/local/csf/bin/remove_apf_bfd.sh

　　如果您使用的是现代Linux发行版，请使用systemctl命令禁用防火墙服务。

　　# systemctl stop firewalld

　　# systemctl disable firewalld

　　运行以下命令以启用lfd守护程序，否则它将无法启动。为此，您需要使用sed命令将文件“ /etc/csf/csf.conf”中的值“ TESTING = 1”更改为“ TESTING = 0” 。

　　# sed 's/TESTING = "1"/TESTING = "0"/g' /etc/csf/csf.conf

　　运行以下命令以重新启动CSF防火墙，以使更改生效。您可以使用csf命令轻松管理CSF防火墙。

　　# csf -r

　　或者

　　# csf --restart

　　默认情况下，这允许在“ TCP_IN和TCP_OUT”中的文件“ /etc/csf/csf.conf”中使用逗号分隔的一组输入和输出端口。您可以根据需要添加/修改它们(如下所示)。

　　二、如何按来源限制传入连接

　　此选项配置iptables以防止针对特定端口的DDOS攻击。该选项通过将新的并发连接数限制为可以建立到特定端口的IP地址的方式起作用。

　　为此，请在“ CONNLIMIT”参数中添加条目。语法为“端口;限制”，您可以添加多个端口，以逗号分隔。

　　#vi /etc/csf/csf.conf

　　CONNLIMIT =“ 22; 5,80; 20”

　　上面的设置最多只允许5个并发新连接到每个IP地址的端口22，并允许20个并发新连接到IP地址的端口80。

　　三、如何使用CSF执行/运行自定义iptables规则

　　CSF提供了“ csfpre.sh”和“ csfpost.sh”脚本，使您可以在csf设置iptables链和规则之前和/或之后运行外部命令。

　　“ csfpre.sh和csfpost.sh”文件应在“ / usr / local / csf / bin”目录下创建，该目录需要可执行权限。

　　最后，根据需要将自定义脚本添加到文件中。

　　四、重要的CSF配置文件列表

　　以下是控制CSF中大多数规则的重要配置文件。如果手动修改这些文件，则需要重新启动csf，然后再对它们进行lfd才能生效。

　　csf.conf – 主配置文件，其中包含有用的注释，解释每个选项的作用

　　csf.allow – 应始终通过防火墙允许的IP地址和CIDR地址的列表

　　csf.deny – IP和CIDR地址的列表，这些地址永远不应通过防火墙

　　csf.ignore – lfd应该忽略而不被阻塞的IP和CIDR地址的列表

　　csf.*ignore – 各种忽略文件，列出lfd应该忽略的文件，用户和IP。查看每个文件的特定用途

　　五、如何在Linux上卸载CSF和LFD

　　运行以下脚本，从系统中删除csf和lfd。

　　#sh /etc/csf/uninstall.sh