[CSF-2] Một số thiết lập CSF, LFD

Tram Ho

Hôm nay mình sẽ thực hiện một số thiết lập trên CSF

Mở file config để sửa đổi một số tính năng dưới

1. Bảo vệ khỏi tấn công DoS bằng giới hạn số lượng truy cập tới cổng

Ví dụ: CONNLIMIT = “22;5,80;20”
Có nghĩa là cổng 80 (http) cho phép 20 kết nối với 1 IP => Như vậy từ một máy tạo ra truy cấn liên tục tới server tạo ra quá 20 kết nối sẽ bị block, cổng 22 (ssh) là 5 kết nối 1 IP

2. Phòng chống Port Flood

Giám sát tổng số lượng kết nối từ một IP tới một cổng trong khoảng một thời gian chỉ ra với thiết lập PORTFLOOD. Giá trị gán vào có dạng

Ví dụ: PORTFLOOD = “80;tcp;100;5”
Có nghĩa là 1 IP nào đó kết nối tới cổng 80 bằng giao thức tcp, trong vòng 5s mà tạo ra tới 100 kết nối thì bị block

3. Phòng chống SYN FLOOD

Trong đó SYNFLOOD = “1” để kích hoạt SYN FLOOD
SYNFLOOD_RATE = “75/s” thiết lập số gói SYN gửi tới 1 IP/1s. SYNFLOOD_BURST Số lần mà một IP có thể chạm tới SYNFLOOD_RATE trước khi bị block.

4. Mở cổng, đóng cổng

5. Thực thi một scripts

CSF mặc định có kiểm tra mức độ hoạt động của CPU xem nó có quá tải hay không, Nếu có sự kiện đó xảy ra thì CSF sẽ thực thi một scripts do chúng ta định nghĩa.
Giả sử bạn tạo ra một script để khởi động lại Apache, lưu tại /restartapache.sh, nhớ chmod cho nó chạy được chmod +x /restartapache.sh

Nội dung của script đó chỉ là lệnh khởi động lại Apache

Bây giờ muốn mỗi khi CPU quá tải sẽ chạy script /restartapache.sh thì sửa config:

6. Cấm tất cả các IP đến từ một quốc gia nào đó

7. Block nếu đăng nhập các dịch vụ thất bại

8. Block danh sách IP Spam

CSF cung cấp khóa cả danh sách IP, bằng cách đưa URL của danh sách đó vào file /etc/csf/csf.blocklists. Bạn có thể mở file đó ra thêm các danh sách IP mà các dịch vụ phát hiện IP SPAM

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo