Parfait pour les fournisseurs d'hébergement Web, devient encore plus facile en installant Webmin sur votre installation Plesk Panel Panel 12. Non recommandé du point de vue de la sécurité.

Sécuriser votre serveur de nos jours est un must! Alpha Computer Services vous montrera comment sécuriser votre serveur / VPS avec CSF / LFD et comprend l'inspection des paquets, un pare-feu avec détection d'intrusion de connexion et une application de sécurité pour les serveurs Linux. Nécessite un accès SSH à votre serveur dédié ou VPS.

 

Vous pouvez afficher des informations plus détaillées en visitant leur site Web

http://configserver.com/cp/csf.html

Intégration de l'interface utilisateur pour cPanel, DirectAdmin et Webmin, mais nous allons l'installer sur Parallels Plesk Panel 12 qui ne comprend pas d'interface.

JE RECOMMANDE FORTEMENT DE NE PAS INSTALLER WEBMIN SUR PLESK SAUF SI VOUS N'ÊTES PAS VRAIMENT NOUVEAU POUR GÉRER UN SERVEUR PLESK, UTILISEZ SSH AU LIEU

Comment installer Webmin Plesk CentOS

Vous pouvez installer webmin sur votre installation plesk, visiter le site web des webmins  et une fois que vous avez installé, connectez-vous à votre panneau de contrôle webmin. https: // yourIP_or_DomainName: 10000 , puis accédez à Webmin - Configuration Webmin - Modules Webmin - À partir du fichier local , puis recherchez généralement /etc/csf/csfwebmin.tgz, puis cliquez sur installer le module. Vous devrez d'abord installer csf, sinon webmin l'installera pour vous. Il s'installera sous Système dans votre panneau de contrôle webmin, à partir de là, vous pouvez instantanément augmenter les niveaux de sécurité de vos serveurs et consulter les fichiers journaux, débloquer, bloquer les ips et bien plus encore.

Tant que vous n'utilisez pas webmin pour modifier ou mettre à jour quoi que ce soit, vous n'avez pas à vous en préoccuper, mais vous pouvez l'utiliser pour modifier vos fichiers de configuration assez facilement. Ne le faites que si vous savez ce que vous faites.

Vous pouvez voir des captures d'écran que je viens de faire avec CSF / LFD en utilisant webmin ici:


webmin csf



webmincsf2


Astuce: lorsque vous utilisez le terminal ssh, commencez par taper par exemple nano / etc / csf / cs et continuez à appuyer sur la touche de tabulation. il vous montrera les combinaisons disponibles pour les noms de fichiers restants dans ce répertoire. Cette astuce vous fera gagner beaucoup de temps en utilisant le terminal «SSH» shell, peu importe comment vous voulez l'appeler. D'accord, commençons bien.

Si vous utilisez Windows, vous pouvez télécharger  Putty SSH Cient  Si vous utilisez Linux ou Mac, vous pouvez ouvrir Terminal. Je préfère Terminator car vous pouvez ouvrir d'autres sessions de terminal dans la même fenêtre en cliquant avec le bouton droit sur le terminal et en cliquant sur fractionner horizontalement.

astuce: lorsque vous essayez de taper nano et si la commande est introuvable, tapez ceci:

Debian «Ubuntu», etc.: apt-get install nano

"CentOS" basé sur RedHat etc: yum install nano

Ajoutez sudo avant la commande sinon ROOT.

CSF LFD fonctionne sur un serveur dédié Linux et des «serveurs privés virtuels» VPS

Installer sur un serveur dédié ou des «serveurs privés virtuels» VPS, nous exécutons le nôtre sur des serveurs privés virtuels dans le cloud afin de pouvoir déplacer nos nœuds d'hôte à hôte.

Téléchargement et installation de Webmin dans Parallels Plesk Panel 12 à l'aide de SSH

Doit être connecté en tant que ROOT:
su - root
cd / root

Téléchargement et installation:
wget http://www.configserver.com/free/csf.tgz
tar –xzf csf.tgz
cd csf
sh install.sh

Quels ports dois-je ouvrir?
Une fois que vous exécutez le script d'installation, il vous indiquera les ports d'écoute TCP et UDP actuels pour les connexions entrantes. Cela ne vous donnera pas tous les ports dont vous avez besoin ouverts, ni ne vous dira quels ports vous devez fermer. mais vous donne un bon point de départ.

Remarque: vos paramètres peuvent être différents, si vous n'avez aucune idée de copier les ports actuels répertoriés lorsque vous avez installé le serveur de configuration ou contactez-nous et nous serons heureux de vous aider gratuitement.

Consultez http://kb.parallels.com/391 pour plus de détails sur les ports utilisés par plesk panel 12.

Assurez-vous que iptables a les bons modules:
perl /etc/csf/csftest.pl

Accédez au répertoire installé csf:
cd / etc / csf

Maintenant éditez le fichier de configuration principal csf. les créateurs de configserver ont fait un excellent travail en expliquant ce que font toutes les options. Alors, lisez votre configuration et ajustez-la à votre guise, en fonction du montant que vous souhaitez verrouiller votre système. Si vous êtes une entreprise d'hébergement Web, assurez-vous de considérer le point de vue de vos clients d'hébergement.

nano /etc/csf/csf.conf

Astuce: lorsque vous avez terminé de modifier votre type de fichier CTRL + X et que Y pour enregistrer les modifications.

lfd ne démarre pas tant que cette option est activée

ESSAI  = 

# L'intervalle de la crontab en minutes. Comme cela utilise l'horloge système, le travail
# CRON s'exécutera à l'intervalle passé l'heure et non à partir du moment où vous émettez
# la commande de démarrage. Par conséquent, un intervalle de 5 minutes signifie que le pare-feu
# sera effacé en 0-5 minutes à partir du démarrage du pare-feu

TESTING_INTERVAL  =  Par défaut: 5 [1-60]

# L'activation des mises à jour automatiques crée un travail cron appelé /etc/cron.d/csf_update qui
# s'exécute une fois par jour pour voir s'il y a une mise à jour de csf + lfd et des mises à niveau si
# disponible et redémarre csf et lfd
#
# Vous devez vérifier annonces de nouvelle version sur http://blog.configserver.com

AUTO_UPDATES  =  Par défaut: 1 [0-1]

################################################## #############################
# SECTION: Paramètres du port IPv4
############### ################################################## ##############
# Les listes de ports dans les listes séparées par des virgules suivantes peuvent être ajoutées à l'aide d'un
#

Recherchez les ports à ouvrir dans votre version de Plesk Panel et si votre serveur utilise d'autres services, ouvrez les ports pour lesquels vous souhaitez autoriser l'accès au monde extérieur

deux points (par exemple 30000: 35000). # Autoriser les ports TCP entrants

TCP_IN  = 

 

# Si vous ne souhaitez pas autoriser l'accès externe à MySQL ou PostgreSQL. Je le bloquerais car les personnes se connectant à plesk panel 12 pourront toujours installer des applications et accéder à la base de données en utilisant phpmyadmin ou phpPGadmin. bloquer les PostgrelSQL entrants: 5432 et MYSQL: 3306 # Autoriser les ports TCP sortants

TCP_OUT = 20,21,22,25,43,53,80,106,110,113,143,443,465,587,873,990,993,995,3310,5224,5353,8443,8447,8880,9080  ,

# Autoriser les ports UDP entrants

UDP_IN  = 

# Autoriser les ports UDP sortants
# Pour autoriser le traceroute sortant, ajoutez 33434: 33523 à cette liste

UDP_OUT  = 

# Autoriser PING entrant

 
ICMP_IN_RATE  = 

# Autoriser le PING sortant

ICMP_OUT  =  Par défaut: 1 [0-1]

# Définissez le taux de paquets ICMP sortants par adresse IP (accès par seconde autorisés),
# par exemple "1 / s"
# Pour désactiver la limitation de débit, définissez sur "0"

ICMP_OUT_RATE  = 

################################################## #############################
# Par défaut, csf configurera automatiquement iptables pour filtrer tout le trafic sauf sur
# le périphérique de bouclage. Si vous souhaitez uniquement que les règles iptables soient appliquées à un

NIC, puis listez-le ici (par exemple eth1 ou eth +)

ETH_DEVICE  = 

# En ajoutant un périphérique à cette option, ip6tables peut être configuré uniquement sur le
périphérique spécifié. Sinon, ETH_DEVICE, puis le paramètre par défaut sera
# utilisé

Si vous souhaitez ignorer votre intranet local, un exemple serait eth2, eth + signifie que tous les périphériques réseau seront protégés.

ETH_DEVICE_SKIP = 

# Pour passer du module «état» iptables obsolète au
module # conntrack , changez-le en 1

# SECTION: Paramètres de journalisation
############################################# ##################################
LOGFLOOD_ALERT  =  Par défaut: 0 [0-1]

# Configurez csf pour surveiller les adresses IP (avec csf -w [ip]). Cette option ajoutera
# surcharge à la traversée des paquets via iptables et la journalisation syslog, donc ne devrait
# être activée que pendant la surveillance active des adresses IP. Voir readme.txt pour plus
# d'informations sur l'utilisation de cette option

################################################

Adresse e-mail de configuration importante pour recevoir les journaux

# SECTION: Paramètres de rapport
############################################# ##################################
# Par défaut, lfd enverra des messages d'alerte à l'aide du modèle d'alerte approprié à
# l'adresse À: configurée dans ce modèle. La définition de l'
option # suivante remplacera le champ To: configuré dans tous les e-mails d'alerte lfd
#
#Laissez cette option vide pour utiliser le paramètre de champ To: dans chaque modèle d'alerte
LF_ALERT_TO  = 

# Par défaut, lfd enverra des e-mails d'alerte en utilisant le modèle d'alerte approprié à partir de
l'adresse From: configurée dans ce modèle. La définition de l'
option # suivante remplacera le champ From: configuré dans tous les e-mails d'alerte lfd
#
# Laissez cette option vide pour utiliser le paramètre de champ From: dans chaque modèle d'alerte

LF_ALERT_FROM  = 

# Par défaut, lfd enverra toutes les alertes en utilisant le binaire SENDMAIL. Pour envoyer
directement à l' aide de # SMTP, vous pouvez définir ce qui suit sur un serveur SMTP relais, par exemple
# «127.0.0.1». Laissez ce paramètre vide pour utiliser SENDMAIL

SI VOUS NE POUVEZ PAS OBTENIR DE COURRIEL DE CSF LFD QUE D'ESSAYER D'UTILISER SMTP DIRECTEMENT EN CHANGANT LF_ALERT_SMTP = "" en LF_ALERT_SMTP = "127.0.0.1" OU OERE VOTRE SERVEUR DE COURRIEL EST SITUÉ.

 

Important! Assurez-vous de configurer le blocage des échecs de connexion pour des services spécifiques

################################################## #############################
# SECTION: Blocage des échecs de connexion et alertes
############# ################################################## ################
# Les déclencheurs [*] suivants sont spécifiques à l'application. Si vous définissez #LF_TRIGGER sur
# "0", la valeur de chaque déclencheur est le nombre d'échecs par rapport à cette
application # qui déclenchera lfd pour bloquer l'adresse IP
#
# Si vous définissez LF_TRIGGER sur une valeur supérieure à "0", puis ce qui suit [*]
# les déclencheurs d'application sont simplement
activés ou désactivés ("0" ou "1") et la valeur de # LF_TRIGGER est le nombre cumulé total d'échecs qui déclenchera
lfd # pour bloquer l'adresse IP
#
# La définition du déclencheur d'application sur «0» le désactive
LF_TRIGGER = "0"
# Si LF_TRIGGER est> "0", alors LF_TRIGGER_PERM peut être réglé sur "1" pour
# bloquer de façon permanente # l'adresse IP, ou LF_TRIGGER_PERM peut être réglé sur une valeur
supérieure à # "1" et l'adresse IP sera temporairement bloquée pour cette valeur en # secondes.
# Par exemple:
# LF_TRIGGER_PERM = "1" => l'IP est bloqué en permanence
# LF_TRIGGER_PERM = "3600" => l'IP est bloqué temporairement pendant 1 heure
#
# Si LF_TRIGGER est "0", alors l'application LF_ [application] _PERM valeur #works
# de la même manière que ci-dessus et LF_TRIGGER_PERM n'a aucune fonction
LF_TRIGGER_PERM = "1"

 

# Pour bloquer uniquement l'accès à l'application ayant échoué au lieu d'un #bloc complet
# pour une adresse IP, vous pouvez définir ce qui suit sur «1», mais LF_TRIGGER
doit être # réglé sur «0» avec des niveaux de déclenchement d'application [*] spécifiques également défini de manière appropriée
#
# Les ports bloqués peuvent être configurés en modifiant les options # PORTS_ *

LF_SELECT = "0"

# Envoyez une alerte par e-mail si une adresse IP est bloquée par l'un des [*] # déclencheurs

LF_EMAIL_ALERT = "1"

# [*] Activer la détection d'échec de connexion des connexions sshd
#
# SÉCURITÉ REMARQUE: cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:

LF_SSHD = "8"
LF_SSHD_PERM = "1"

# [*] Activer la détection d'échec de connexion des connexions ftp
#
# SÉCURITÉ REMARQUE: cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_FTPD = "14"
LF_FTPD_PERM = "1"

# [*] Activer la détection d'échec de connexion des connexions SMTP AUTH
LF_SMTPAUTH = "15"
LF_SMTPAUTH_PERM = "1" # [*] Activer la détection d'échec de syntaxe des connexions Exim
LF_EXIMSYNTAX = "2"
LF_EXIMSYNTAX_PERM = "1" # [*] Activer l'échec de connexion détection des connexions pop3
#
# SECURITY REMARQUE: Cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_POP3D = "20"
LF_POP3D_PERM = "1" # [*] Activer la détection d'échec de connexion des connexions imap
#
# SÉCURITÉ REMARQUE: cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_IMAPD = "20"
LF_IMAPD_PERM = "1" # [*] Activer la détection d'échec de connexion des connexions Apache .htpasswd
# En raison du taux de journalisation souvent élevé dans le journal des erreurs Apache, vous pouvez
vouloir # activer cette option uniquement si vous le savez vous souffrez d'attaques
contre # répertoires protégés par mot de passe
LF_HTACCESS = ""
LF_HTACCESS_PERM = "1" # [*] Activez la détection d'échec de la règle Apache mod_security répétée # déclencheurs
LF_MODSEC = "3"
LF_MODSEC_PERM = "1" # [*] Activez la détection de demandes BIND répétées refusées
# Cette option doit être activée avec précaution car elle empêchera les adresses IP bloquées #de
# résoudre tous les domaines sur le serveur. Vous voudrez peut-être définir la valeur #trigger
# raisonnablement élevé pour éviter cela
# Exemple: LF_BIND = "100"
LF_BIND = "100"
LF_BIND_PERM = "1" # [*] Activer la détection des ALERTES répétées de suhosine
# Exemple: LF_SUHOSIN = "5"
#
# REMARQUE DE SÉCURITÉ: Cette option est affecté par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier à propos de RESTRICT_SYSLOG avant d'activer cette option:
LF_SUHOSIN = "5"
LF_SUHOSIN_PERM = "1" # [*] Activez la détection des cxs répétés ModSecurity mod_security rule #triggers
# Cette option bloquera les adresses IP si cxs détecte un accès du
# Règle ModSecurity qui lui est associée
#
# Remarque: Cette option a priorité sur LF_MODSEC et supprime # tous les hits
# compté pour LF_MODSEC pour la règle cxs
#
# Ce paramètre devrait probablement être très bas, peut-être 1, si vous voulez
# # bloquer efficacement les adresses IP pour cette option de déclenchement
LF_CXS = "1"
LF_CXS_PERM = "1" # [*] Activer la détection des déclencheurs répétés de la règle mod_qos Apache LF_QOS
= "2"
LF_QOS_PERM = "1" # [*] Activer la détection des conditions de course répétées du lien symbolique Apache
déclencheurs à partir # du correctif Apache fourni par:
# http://www.mail-archive.com/dev@httpd.apache.org/msg55666.html
# Ce correctif a également été inclus par cPanel via l'option easyapache #option:
# "Symlink Race Condition Protection"
LF_SYMLINK = "2"
LF_SYMLINK_PERM = "1" # [*] Activer la détection d'échec de connexion des connexions webmin
#
# SECURITY REMARQUE: Cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_WEBMIN = "1"
LF_WEBMIN_PERM = "1" # Envoyez une alerte par e-mail si quelqu'un se connecte avec succès en utilisant SSH
#
# SECURITY REMARQUE: Cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_SSH_EMAIL_ALERT = "1" # Envoyez une alerte e-mail si quelqu'un utilise su pour accéder à un autre compte. Cette #will
# enverra une alerte par e-mail si la tentative d'utilisation de su a réussi ou #not
#
# SECURITY REMARQUE: Cette option est affectée par l'option RESTRICT_SYSLOG. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_SU_EMAIL_ALERT = "1" # Envoyez une alerte par e-mail si quelqu'un accède à webmin
#
# REMARQUE SUR LA SÉCURITÉ: Cette option est affectée par l'option # RESTRICT_SYSLOG. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_WEBMIN_EMAIL_ALERT = "1" # Envoyez une alerte par e-mail si quelqu'un se connecte avec succès à la racine sur la #console
#
# SÉCURITÉ REMARQUE: cette option est affectée par l'option RESTRICT_SYSLOG #. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_CONSOLE_EMAIL_ALERT = "1"
# Vérification des exploits du système. Cette option est conçue pour effectuer une série #de tests
# pour envoyer une alerte en cas de détection d'un compromis possible avec le serveur
#
# Pour activer cette fonctionnalité, définissez l'intervalle de vérification suivant dans #secondes
# (une valeur de 300 semble raisonnable) .
#
# Pour désactiver le réglage sur "0"
LF_EXPLOIT = "300"

Si vous souhaitez configurer des répertoires qui seront surveillés pour les modifications

################################################## #############################
# SECTION: Surveillance de répertoire et intégrité
############### ################################################## ###############
# Activer la surveillance d' annuaire. Cela permet à lfd de rechercher dans les répertoires / tmp et / dev / shm
# les fichiers suspects, c'est-à-dire les exploits de script. Si un
fichier # suspect est trouvé, une alerte e-mail est envoyée. Une alerte par fichier par
intervalle LF_FLUSH # est envoyée
#
# Pour activer cette fonction, définissez ce qui suit sur l'intervalle de vérification en secondes.
# Pour désactiver le réglage sur "0"
LF_DIRWATCH = "1800" # Pour supprimer tous les fichiers suspects trouvés lors de la surveillance du répertoire, activez la
# suivante. Ces fichiers seront ajoutés à une archive tar dans
# /var/lib/csf/suspicious.tar
LF_DIRWATCH_DISABLE = "0" # Cette option vous permet d'avoir lfd surveiller # un fichier ou un répertoire particulier pour les
changements # et s'ils changent et une alerte e-mail utilisant watchalert.txt est envoyée
#
# pour activer cette fonction définit ce qui suit à l'intervalle de vérification en secondes
# (une valeur de 60 semblerait raisonnable) et ajoutez vos entrées à csf.dirwatch
#
# Définissez pour désactiver le réglage sur "0"
LF_DIRWATCH_FILE = "240"
################################################## #############################
# SECTION: Attaques distribuées
################ ################################################## #############
# Attaque de compte distribuée. Cette option gardera une trace des
échecs de connexion # des adresses IP distribuées à un compte d'application spécifique. Si le
# nombre d'échecs correspond à la valeur de déclenchement ci-dessus, TOUTES les adresses IP
# impliquées dans l'attaque seront bloquées selon les règles temp / perm
ci-dessus #
# Le suivi s'applique à LF_SSHD, LF_FTPD, LF_SMTPAUTH, LF_POP3D, #LF_IMAPD,
# LF_HTACCESS
#
# SECURITY REMARQUE: Cette option est affectée par l'option RESTRICT_SYSLOG #. Lis
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_DISTATTACK = "1"
# Définissez ce qui suit sur le nombre minimum d'adresses IP uniques #quhat trigger
# LF_DISTATTACK
LF_DISTATTACK_UNIQ = "3"

 

# Connexions FTP distribuées. Cette option gardera une trace des connexions FTP réussies.
# Si le nombre de connexions réussies à un compte individuel est d'au moins
# LF_DISTFTP dans LF_DIST_INTERVAL d'au moins LF_DISTFTP_UNIQ
adresses IP, # alors toutes les adresses IP seront bloquées
#
# Cette option peut aider à atténuer le compromis de compte FTP commun #attaques qui
# utilise un réseau distribué de zombies pour défigurer les sites Web
#
# Un paramètre judicieux pour cela pourrait être 5, selon le nombre
différentes # adresses IP que vous attendez d'un compte FTP individuel dans #LF_DIST_INTERVAL
#
# Pour désactiver le réglage sur "0"
#
# REMARQUE SUR LA SÉCURITÉ: Cette option est affectée par l'option # RESTRICT_SYSLOG. Lisez
# ce fichier sur RESTRICT_SYSLOG avant d'activer cette option:
LF_DISTFTP = "8"

# Définissez ce qui suit sur le nombre minimum d'adresses IP uniques #quhat trigger
# LF_DISTFTP. LF_DISTFTP_UNIQ doit être <= LF_DISTFTP pour que cela fonctionne #work
LF_DISTFTP_UNIQ = "5"

# Si cette option est définie sur 1, les blocs seront permanents
# Si cette option est> 1, les blocs seront temporaires pendant le
numéro spécifié # de secondes
LF_DISTFTP_PERM = "1"

# Connexions SMTP distribuées. Cette option gardera une trace des
connexions #SMTP réussies Si le nombre de connexions réussies à un compte individuel est #au
# moins LF_DISTSMTP dans LF_DIST_INTERVAL à partir d'au moins #LF_DISTSMTP_UNIQ adresses IP
#, alors toutes les adresses IP seront bloquées. Ces options #seulement
# s'appliquent au MTA exim
#
# Cette option peut aider à atténuer les attaques de compte SMTP courantes #compromise
qui utilisent un réseau distribué de zombies pour envoyer du spam
## Un paramètre judicieux pour cela pourrait être 5, selon le nombre



« 返回