Instalando un servidor web en Centos. (IV)- Instalar CSF

Es increíble: en menos de tres artículos os he invitado a que:

Si habéis seguido los pasos, os encontráis con un potente servidor, dispuesto a funcionar en condiciones discretas (>1000 pag/hora) , con coste cero de Software, y una miseria mensual…..(menos de lo que se pagan en muchos servicios de hosting).

Ahora, deberíamos mejorar su seguridad.

Nuestro servidor esta operacional, pero no tiene ninguna protección ante los ataques, y no os equivoquéis…. TODOS los servidores son atacados; normalmente solo desean obtener acceso al correo, pero también hay ataques para conseguir acceso al sistema…

Vamos a partir que es imposible una seguridad total, por lo que nos vamos a dedicar a hacer un poco mas difícil que puedan acceder a nuestro equipo, para ello, instalaremos un pequeño programa, nuevamente gratuito, que se dedica a mantener nuestras IPTables.

Se trata de CSF & LFD y no nos llevara mas de 20 minutos su instalación y configuración.

Nos conectamos a nuestro servidor como “root”, cambiamos al directorio “tmp”, y descargamos csf:

# cd /tmp
# wget http://www.configserver.com/free/csf.tgz

Pasamos a descomprimir el paquete

# tar -xzf csf.tgz

Cambiamos al directorio recien creado y lanzamos el proceso de instalacion

# cd csf
# sh install.sh

Y ahora corremos un test, para comprobar si a nuestro servidor le falta algún modulo para que csf pueda funcionar.

# perl /usr/local/csf/bin/csftest.pl

Y si recibimos este resultado,

instalar_csf

todo esta bien.

Ahora debemos incorporar el modulo de control al “webmin“, para simplificar nuestra gestión; para ello, no conectamos, con un navegador web a nuestro Virtualmin

  https://< ip servidor >:10000

Virtualmin

Mientras que Virtualmin esta orientado a gestionar cada uno de los servidores virtuales que tenéis, dentro del paquete, hay una herramienta mas antigua que nos ayuda a gestionar cualquier maquina Linux, y es Webmin. Cualquier tema general, (no dependiente de servidores virtuales), se resolverá a través de él.

Si ahora pasamos a “Webmin” pulsando en las letras que os indico y nos aparece la pantalla de webmin.

webmin_modulos

Aquí deberemos pulsar en “Webmin Modules”

webmin_AltaModulos

Debemos instalar el módulo desde el fichero  “/etc/csf/csfwebmin.tgz”; para ello, pulsamos en (1), y en la ventana emergente que nos aparece, navegamos hasta el directorio indicado, y allí, marcamos el fichero “csfwebmin.tgz“, pulsamos en (2) y ya podemos instalar el modulo.

En breves segundos, esta listo, y lo podemos encontrar en:

webmin_csf_inicio

La primera vez nos pide que pulsemos en la palabra “here” a la derecha de la pantalla, para finalizar la configuración. Lo hacemos, y se nos presenta ya, la pantalla que utilizaremos habitualmente para la gestión de nuestras ipTables.

csf_inicial

En esta pantalla, os quiero destacar ahora estos dos botones; uno es el “Firewal Profiles” que nos permite configurar nuestro Firewall en unos modos (profiles) preestablecidos, y si queréis, puede ser una forma de tener una configuración de partida, Al pulsarlo nos aparece:

csf_profiles

Solo tenemos que marcar la opción que consideremos conveniente, y pulsar el botón “Apply Profiles”

No os preocupes si casualmente os hecha fuera por haber hecho una configuración errónea o demasiado estricta, porque si todavía no habéis modificado nada mas de la instalación, CSF esta en modo prueba y cada 5 minutos, resetea todos los bloqueos.

El otro boton del que que os hablaba antes, es precisamente el que nos permite configurar nuestro Firewall con todo lujo de detalles, es el “Firewall configuration” y, antes de empezar a tocar, yo os aconsejo que averigueis cual es vuestra IP, y la incluyáis en la lista de “Permitidas”

CSF_Permitir

Solo hace falta que pulseis en el dibujo que os indico, y vuestra IP aparecerá en el cuadro; podéis poner un comentario en el cuadro inferior y pulsar en “Quick Allow”.

A partir de este momento, vuestra IP no se bloqueará, por lo que podéis ir , Ahora si, al “Firewall configuration”.

csf_configuracion

Lo primero a lo que tenéis que prestar atención es a este indicador, cuando vale 1, el sistema se encuentra en modo test, y eso hace que cualquier bloqueo que genere, desaparezca  al cabo del tiempo que se indique en “Testing_interval”

Estos dos campos, en los casos en que vuestra dirección no esta en “allow”,  son los que os permiten hacer pruebas sin quedar excluidos definitivamente.

A continuación de este párrafo que os muestro, viene todas las opciones con las que podéis jugar, perfectamente documentadas, por lo que, aunque os garantizo que próximamente tendréis un articulo explicando y proponiendo una configuración concreta, os invito a que reviseis el fichero, que os va a permitir especificar puertos que queréis abrir, direcciones que queréis bloquear, y gran cantidad de funciones para detener un importante numero de ataques

Cuando penséis que mas o menos esta todo, podéis guardarlo

csf_guardar_fichero

pulsando el boton de “Change”, y os llevará a la siguiente pantalla

csf_restart

En donde deberéis pulsar el botón de “Restart csf+lfd” para que los cambios que hayáis hecho se apliquen inmediatamente

Veréis la lista de modificaciones que se aplican a “iptables”, y al finalizar os aparecerá el botón “Return” para volver a la pantalla principal,

csf_inicial_chek

Ahora ya aparece que esta activo, (El warning ya lo veremos), y si pulsais el botón “Check Server Security” se realizara un diagnostico de vuestra situación de seguridad, dando algunos consejos de como mejorarla.

Csf_diagnostico

La idea es que vayáis solucionando cada uno de las sugerencias que os hace, y repetir esta comprobación hasta que llegueis a una situación en la que os encontréis a gusto

Acerca de Miguel Garcia

Programador, Desarrollador web, Formador en distintas areas de informatica y director de equipos multidisciplinares.

Esta entrada fue publicada en Formacion, Linux y etiquetada , . Guarda el enlace permanente.

Deja un comentario