Search the Community

Olá Pessoal, Hoje eu atualizei o CSF Firewall em meus servidores, e agora a seguinte mensagem de alerta está aparecendo: --- Firewall Status: Enabled and Running WARNING: RESTRICT_SYSLOG is disabled. See SECURITY WARNING in Firewall Configuration --- A nova versão 6.41 agora traz esta questão de 'RESTRICT_SYSLOG', conforme descrição abaixo: --- SECURITY WARNING ================ Unfortunately, syslog and rsyslog allow end-users to log messages to some system logs via the same unix socket that other local services use. This means that any log line shown in these system logs that syslog or rsyslog maintain can be spoofed (they are exactly the same as real log lines). Since some of the features of lfd rely on such log lines, spoofed messages can cause false-positive matches which can lead to confusion at best, or blocking of any innocent IP address or making the server inaccessible at worst. Any option that relies on the log entries in the files listed in /etc/syslog.conf and /etc/rsyslog.conf should therefore be considered vulnerable to exploitation by end-users and scripts run by end-users. NOTE: Not all log files are affected as they may not use syslog/rsyslog The option RESTRICT_SYSLOG disables all these features that rely on affected logs. These options are: LF_SSHD LF_FTPD LF_IMAPD LF_POP3D LF_BIND LF_SUHOSIN LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT LF_CONSOLE_EMAIL_ALERT LF_DISTATTACK LF_DISTFTP LT_POP3D LT_IMAPD PS_INTERVAL UID_INTERVAL WEBMIN_LOG LF_WEBMIN_EMAIL_ALERT PORTKNOCKING_ALERT This list of options use the logs but are not disabled by RESTRICT_SYSLOG: ST_ENABLE SYSLOG_CHECK LOGSCANNER CUSTOM*_LOG The following options are still enabled by default on new installations so that, on balance, csf/lfd still provides expected levels of security: LF_SSHD LF_FTPD LF_POP3D LF_IMAPD LF_SSH_EMAIL_ALERT LF_SU_EMAIL_ALERT For advice on how to help mitigate these issues, see /etc/csf/readme.txt If you set RESTRICT_SYSLOG to "0" or "2" and enable any of the options listed above, it should be done with the knowledge that any of the those options that are enabled could be triggered by spoofed log lines and lead to the server being inaccessible in the worst case. If you do not want to take that risk you should set RESTRICT_SYSLOG to "1" and those features will not work but you will not be protected from the exploits that they normally help block 0 = Allow those options listed above to be used and configured 1 = Disable all the options listed above and prevent them from being used 2 - Disable only alerts about this feature and do nothing else --- Agora fica dúvida deixar 0, 1 ou 2! É uma dúvida cruel, deixando 0 ou 2 podemos ter linhas de logs fraudados, e como eles informam, na pior das hipóteses o servidor poderá ficar inacessível. Deixando como 1, nos protegeremos contra log fraudado e do servidor ficar inacessível, porém não receberemos mais os alertas mencionados acima e a segurança que eles proporcionam. Se alguém estiver mais aprofundado no assunto e puder dar uma força, valeu!

Pessoal, o CSF tem uma interface personalizada para usuários que estão bloqueados no servidor. Funciona mais ou menos assim... o cara é bloqueado por algum motivo e, ao acessar o site dele ou qualquer outro site no mesmo servidor, ao invés de dar o famoso erro de conexão, ele é direcionado pra uma interface onde diz que ele tá bloqueado. A minha dúvida é... é vantajoso habilitar essa interface? Isso vai trazer algum risco de segurança? Respondendo a minha própria pergunta... eu acho vantajoso porque o usuário não fica com aquela sensação de que o site dele está fora do ar e tem pelo menos uma informação ali de que basta ele abrir um ticket de suporte, mandar e-mail, whatsapp, telefonar ou qualquer coisa do tipo para que o acesso dele seja normalizado... Como nunca habilitei essa função, queria saber dos demais as experiências que já tiveram e os prós e contras de cada um :) Obrigado.

Saudações! Amigos, tenho o ConfigServer Security & Firewall no meu servidor e não sei como liberar o acesso do plugin contra spamm em comentários, o Akismet do Wordpress, aos servidores Akismet, alguém pode ajudar? Li este artigo no Blog do Akismet e tentei fazer isso no csf.allow: Não funcionou... então, tentei deste jeito: Mas também não funcionou... O que me sugerem? Preciso muito do plugin Akismet funcionando pois me ajuda horrores no combate a Spammers nos comentários. Desde já, obrigado.

Navegando pelo fórum encontrei o tópico do sr @Glariston perguntando como ter uma interface web para gerenciar o CSF, como tem para cPanel e outros painéis. Lembrei que já tinha pesquisado isso um tempo atrás e funcionou perfeitamente, tanto em um servidor puro(apenas CentOS) quando em um com zPanel. Caso venha utilizar com o zPanel, ele pode ser instalado antes ou depois do firewall, fiz testes das 2 maneiras para garantir que nenhuma complicação fosse gerada. Vamos a instalação: Acesse o SSH do servidor e rode o comando abaixo e instale as atualizações pendentes. yum update Após efetuar a atualização(caso tenha alguma), rode os comandos abaixo. wget https://raw.github.com/stokes84/ConfigServer-Firewall-Installer/master/install.sh bash install.sh Após rodar esse comando, será solicitado algumas informações como na imagem abaixo: 1. Será perguntado se você deseja acessar a interface de qualquer IP ou apenas de IPs escolhidos, como eu tenho IP dinamico, coloquei n s = apenas ip listado n = qualquer ip 2. Escolha um nome de usuário, ele será usado para acessar a interface do CSF 3. Escolha uma senha. 4. Escolha um e-mail para receber os alertas do firewall 5. Escolha a porta de acesso a interface web. 6. Coloque y O próximo passo é gerar o certificado SSL, basta preencher com seus dados como na imagem abaixo. Após isso você deve receber uma mensagem informando que o firewall foi iniciado com sucesso. Agora basta acessar https://seuip:porta e acessar com os dados definidos no processo. Para esse tutorial eu contratei o VPS mais barato da Host1Plus, fiz a instalação com o VPS do jeito que ele veio, sem precisar de nenhuma pré configuração antes. Caso por algum motivo você esqueça a senha do CSF, acesse o SSH abra o arquivo /etc/csf/csf.conf com o editor de texto de sua preferencia e pesquise por UI_PASS Ai você poderá conferir sua senha ou altera-lá. Código: https://github.com/stokes84/ConfigServer-Firewall-Installer

Olá galera, boa noite. Estou passando uma grave dificuldade com meu webgame já faz mais de uma semana .. Um site concorrente está atacando volta e meia meu site e quando isso ocorre o site fica morto, você não consegue navegar de forma alguma .. eu ainda consigo acessar o WHM e o CPANEL sendo assim o Flood é na porta 80. Tem um fulano desse site concorrente que veio falar comigo falando que podia arrumar, que é problema de CSF e que pra isso precisaria acessar meu WHM (risos) ... até parece que vou passar né? Gostaria de saber se alguma boa alma daqui poderia me ajudar a configurar meu CSF para parar estes malditos ataques. Tentei já algumas configs porém algumas acabam gerando muitos falsos-positivos e sendo assim bloqueando muitos usuários do jogo temporariamente. Muito obrigado a todos. ;)

Olá amigos! Instalei, segundo recomendações, tanto o ConfigServer Security & Firewall (CSF) quanto o ModSecurity com ModSecurity Control. Gostaria muito de um tutorial mostrando as melhores configurações deles para maior segurança do servidor. Não tenho muita experiência (quase nada) via terminal, por isso, geralmente faço as configurações pelo cPanel WHM. Desde já, obrigado.

Olá amigos! Desde 2007, quando comecei a trabalhar com hospedagem, depois revenda, vps e agora dedicado, fui atacado, quando ainda contratava plano de revenda compartilhada, por 2 ocasiões onde hackers substituíram todos os "index" por páginas personalizadas. Nestas 2 vezes, a mensagem deixada tinha haver com o Islamismo e geralmente a partir de países do oriente médio. Quando passei a ter acesso Root e poder configurar o Firewall, comecei a pensar se não vale a pena bloquear o acesso à países reconhecidamente origens de ataques hackers. Configuro meu CSF para bloquear IPs quando a tentativa de login dos principais serviços (SSH, FTP, Email, etc) falham por 5 vezes consecutivas. Pelo log, 80% vêm da ásia e oriente médio, sendo este último, responsável pela maior parte das tentativas de login ao servidor. Como 90% do público alvo é brasileiro, sendo 4% português e os 6% restantes de vários países, geralmente formados por EUA e Europa, com excessão da China e Japão, tenho interesse em bloquear no CSF o acesso à alguns países como Iraque, Arábia, Emirados, Afeganistão, Azerbaijão, etc... o que me dizem? Ou seria interessante, talvez, bloquear TODOS os acessos de países, fora o Brasil, para determinados serviços, como o SSH ou WHM, por exempo, através do bloqueio das portas que estes serviços usam, para determinados países, o que acham? Fora a minha experiência, que não é muito vasta, onde poderia encontrar relatos ou estatísticas com os principais países de onde se originam os ataques? Desde já, obrigado.

Alguem já atualizou seu CSF? Acabou de sair do forno a atualização. Mais detalhes da atualização: http://www.configserver.com/free/csf/changelog.txt

Oi Estou com problemas no Firewall CSF do meu VPS Tipo, ele não esta bloqueando IP, o IP aparece na lista mais não bloqueia e não barra ataque DoS... Já instalei o DDoS Deflate também não barrou, o IP também aparece na lista de IP's bloqueado mais não bloqueia... Alguém pode me ajudar? Obs: uso cPanel e ja reinstalei o CSF e nada resolveu, antes bloqueava, agora não sei o que deu.

Oi =) Recentemente meu servidor vem recebendo uma grande quantidade de ataque DDoS. Para tentar amenizar o problema, instalei o CSF firewall, arrumei as configurações do WHM e apache seguindo suas recomendações, consegui solucionar quase todos os WARNING. Mas no status do meu firewall, ele fica como "Enabled but Stopped". desta forma, parece que ele não tem efeito, quando vou checar os status fica da seguinte forma: Check csf is running WARNING iptables is not configured. You need to start csf Ele fala algo sobre iptables, não sei como arrumar, mas parece que é esse iptables que esta impedindo o firewall de iniciar.