Jan
13
2011

Installation de CSF & LDF (Des modules de sécurité style Firewall: Iptable, fail2ban,logging …)

Il est très important d’avoir CSF et LDF  installés sur les serveurs;

Ceux-ci protègent les Bruteforces , scan de port , les accès non autorisés , le spam , désactivent le ping ou limitent des paquets , firewall , bannissements ip ,temps d’exécution …

J’avais essayé d’installer un iptable mais quand je devais spécifier les interfaces , venet0:0 qui est mon eth0 mais virtualisé n’était pas reconnu !

Ici avec CFS et LDF , il n’y a pas de problèmes, tout est géré automatiquement (ou presque ) et le firewall (iptable) fonctionne sans problèmes et banni une liste d’IP et bloque les ports non utilisés et …

Pour installer ceci il faut se connecter en SSH sur la machine:

root@serveur [~]#wget http://www.configserver.com/free/csf.tgz

root@serveur [~]#tar -xzf csf.tgz

root@serveur [~]#cd csf

root@serveur [~]#sh install.sh

Maintenant on va modifier le fichier de configuration

root@serveur [~]#nano /etc/csf/csf.conf

On va analyser un peu et changer certaines choses (configuration perso)

TESTING= »0″

AUTO_UPDATES= »1″

LF_ALERT_TO= »votre@email.com »

LF_ALERT_FROM= »root@votreserveur.com »

LF_SSH_EMAIL_ALERT= »1″

LF_SU_EMAIL_ALERT= »1″

LF_CPANEL_EMAIL_ALERT= »1″

Et relancez le

/etc/init.d/csf restart

Ou sinon vous pouvez le configurer via le WHM dans l’onglet Module -> ConfigServer Security&Firewall !

C’est un des outils les plus complets que j’ai vu pour le moment et celui-ci est vraiment simple à administrer!

Check Server Security :

En dessous de 100/130 votre serveur est critique ,

Du coté de 120/130 vous êtes dans le bon.

Vous n’arriverez surement pas à 130 (addons payants,virtualisation qui limite,…) mais montez un max !

Personnellement juste le /tmp ne sont pas monté dans une partition différente , les nameserveurs ne sont pas sur deux serveur géographiquement distincts (manque de finance -> j’accepte les dons ^^) et un prob de comptabilité avec Virtuozzo VPS ! sinon tout le reste est ok ! 😀

Tous les serveurs devraient être équipés de ce genre de module pour la sécurité de tous les accès !

Juste pour infos

Si vous plantez un fichier de configuration ou que pour une raison ou une autre vous devez le désinstaller :

cd /etc/csf
sh uninstall.sh

17 commentaires + Ajouter un commentaire

  • Merci beaucoup, j’installerai ce mod sur mon VPS très prochainement 😉

    Petite question HS : le mod munin il fonctionne chez toi ?
    Chez moi l’installation ok, mais le lien « munin service monitor » dans « Plugins » ne fonctionne pas.

    • Salut tos,

      Oui le Munin fonctionne, par-contre j’ai eu le même soucis que toi pour CLAM-AV,il a fallut que je désinstalle et le relancer pour qu’il fonctionne.

      Preuve a l’appui du Munin : http://blog.avis-planethoster.com/wp-content/uploads/2011/01/WebHost-Manager-munin.png

      • Tu l’as simplement désinstallé puis réinstallé ?
        Chez moi j’ai essayé plusieurs fois en vaim,puis j’ai demandé à PH. Saber m’a dit qu’il n’arrivai pas à l’installer sur mon VPS, car trop gourmand en RAM (et mon serveur est quasiment tout le temps au maximum de ram disponible).

        Sinon je viens d’installer CSF et LDF ! Suivi ensuite d’une heure de configuration pour essayer d’être le plus sécurisé ! Même si c’est invisible, il faut mieux se blinder en sécurité 😉

      • Ouip simplement désinstaller et réinstaller.
        Tu a combien pour la cote sur /127?
        Comme expliqué avec le VPS, tu est bloqué a 120.
        Bonne fin de journée.

  • J’ai retenté avec munin ce matin (serveur moins chargé) : j’ai toujours cette page sur le lien « Munin Service Monitor » :
    « Not Found
    The server was not able to find the document (./munin/index.html) you requested…. »

    Sinon j’ai 117/127, car j’ai laissé l’authentification sans SSH pour mon whm. (ma connexion pro m’empêche de faire du ssh)

    • Pour moi fait un ‘updatedb’ -> met a jours la liste des fichiers

      Suivit d’un ‘uninstalled munin’ ou ‘un-install munnim’ -> le désinstaller

      Puis ‘cpan Net::SNMP Crypt::DES Socket6 Net::Server HTML::Template’ (j’ai trouvé sa sur un forum, le mec avait le même prob que toi)

      pour finir ‘/usr/local/cpanel/bin/rrdtoolinstall –force’ pour bien le désinstaller en le forcant

      Puis retente ta chance avec ‘install munnim’ -> Install

  • Merci beaucoup, ça a fonctionné parfaitement 😉

  • […] Si vous utilisez un pare-feu ne pas oublier d’autoriser les connexions entrantes sur les ports nouvellement […]

  • Bonsoir après installation et test de CLF,
    je rencontre peut être un problème (juste une erreur dans le test).j’ai lancé un test pour être certain qu’il tourne correctement même s’il me reste encore pas mal de rouge à corriger dans la liste (j’ai 103/130).

    perl /etc/csf/csftest.pl
    Testing ip_tables/iptable_filter…OK
    Testing ipt_LOG…OK
    Testing ipt_multiport/xt_multiport…OK
    Testing ipt_REJECT…OK
    Testing ipt_state/xt_state…OK
    Testing ipt_limit/xt_limit…OK
    Testing ipt_recent…OK
    Testing xt_connlimit…FAILED [Error: iptables: Unknown error ] – Required for CONNLIMIT feature
    Testing ipt_owner/xt_owner…FAILED [Error: iptables: Unknown error ] – Required for SMTP_BLOCK and UID/GID blocking features
    Testing iptable_nat/ipt_REDIRECT…OK
    Testing iptable_nat/ipt_DNAT…OK

    RESULT: csf will function on this server but some features will not work due to some missing iptables modules [2]

    • Bonjour,

      Ne ferais-tu pas tourner ton cPanel sur une offre virtualisé/cloud/vps ?

      Si oui c’est normale et cela ne change en rien la sécurité de ton iptable !

      A+

  • Bonjour,

    J’ai ainsi prit le soft ConfigServer Security&Firewall, configuré avec la colonne du milieux.
    Au test je trouve 119 sur 128, mais quand un client copie des gros « cms » (10 000 – 16 000 fichiers) il les bloques, alors j’aimerais qu’il fasse part du mal et du bien ?

    Cordialement

    • Bonjour Dylan,

      Selon le client FTP que vous utilisez, celui-ci créé un nombre de connexions plus ou moins grandes selon le nombre de fichiers à uploader !

      CSF & lfd permettent justement de bloquer une tentative DOS (trop de connexion venant d’une seule IP) !

      Le paramètre à augmenter dans votre cas est « ct_limit » afin que vos clients ne soient plus bloquer quand ceux si upload un gros cms !

      Astuce : uploader le zip du cms et de dézipper via le file manager 😉 -> gain de temps !

    • Non le mod évasive est une protection Apache et non FTP 😉

      Changer la valeur de votre ct_limit et sa fonctionnera 😉

  • D’accord d’après votre configuration personnel, quel valeur mettre ? et donc après cette configuration la je peut donc passer ConfigServer Security&Firewall en high ? si oui qu’es que cela change ?

    Cordialement

    • Re,

      Personnellement, j’ai la valeur 200 pour «ct_limit»,

      Cela dépend majoritairement de l’utilisation des clients,

      Je conseille vraiment d’uploader un ZIP et de le décompresser à des fins de rapidité 😉

      CSF&LDF dit entre 0(désactivé) ou 10(connexion) à 1000 !

      Voilà, j’espère, vous avoir aidé.

  • D’accord pour informer tout autre utilisateur je l’aie régler à 400 pour 80 clients, un client vient d’uploder 30 000 fichiers sans problème.

Laisser un commentaire

*