هذا المقال هو الجزء السادس من مشروع شرح تثبيت خادم Nginx وتشغيل موقع عليه. للعودة إلى الفهرس، يمكن الضغط هنا.
الجدار الناري CSF عبارة عن برنامج للتلاعب بالجدار الناري iptables الخاص بلينيكس. من الجدير بالذكر أن CSF مغلق المصدر ولكنه واحد من أسهل البرامج التي يمكن التعامل معها من أجل إدارة الجدار الناري. تثبيت CSF يكون من خلال الكود الخاص به وهو غير متوفر في مستودعات ولا أي توزيعة لينيكس.
كما هو حال العديد من البرمجيات، برنامج CSF محتاج إلى بعض الإعتماديات لكي يعمل. يمكن أن نقوم بتثبيتها من خلال الأمر التالي:
apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils libwww-perl liblwp-protocol-https-perl libgd-graph-perl
تثبيت الجدار الناري يكون من خلال الأوامر التالي:
wget http://download.configserver.com/csf.tgz
tar -xvzf csf.tgz
cd csf
bash install.sh
عند الإنتهاء، نُنفيذ الأمر التالي للتأكد من أن البرنامج يعمل بشكل صحيح:
perl /usr/local/csf/bin/csftest.pl
النتيجة النهائية يجب أن تكون مشابهة للتالي:
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
الآن يمكننا تعديل ملف الإعدادات من أجل تفعيل الجدار الناري بشكل صحيح. نقوم بفتح الملف الإعدادات من خلال الأمر التالي:
vi /etc/csf/csf.conf
ومن ثم تعديل القيم التالية:
تعديل القيمة TESTING من 1 إلى 0
تعديل القيمة RESTRICT_SYSLOG من 0 إلى 3
تعديل القيمة LF_ALERT_TO إلى البريد الخاص بك
تعديل القيمة LF_ALERT_FROM إلى البريد الخاص بالخادم
بعد ذلك، قم بحفظ التغييرات وتشغيل الجدار الناري من خلال الأوامر التالية:
systemctl enable --now csf
systemctl enable --now lfd
csf -ra
هنا نكون قد أنهينا إعداد الجدار الناري.
عمل الجدار الناري هو حماية الخادم من الوصول الغير مصرح، هذا يعني أنه يجب إغلاق الوصول إلى بعض الأمور في الخادم التي لا يجب لأحد الوصول إليها عدا المصرّح لهم فقط.
يمكن فتح ملف الإعدادات:
vi /etc/csf/csf.conf
ومن هناك يمكنك العثور على القيمة TCP_IN و TCP6_IN ومن ثم حذف منافذ ssh و FTP من هناك. هذا يمنع أي شخص من الوصول إلى ssh و ftp عدا عناوين IP التي تم السماح لها بالوصول.