Jump to content

Nova Versão - Csf Firewall

Fernando Rafs

Recommended Posts

Olá Pessoal,


Hoje eu atualizei o CSF Firewall em meus servidores,  e agora a seguinte mensagem de alerta está aparecendo:



Firewall Status: Enabled and Running

WARNING: RESTRICT_SYSLOG is disabled. See SECURITY WARNING in Firewall Configuration



A nova versão 6.41 agora traz esta questão de 'RESTRICT_SYSLOG', conforme descrição abaixo:




Unfortunately, syslog and rsyslog allow end-users to log messages to some
system logs via the same unix socket that other local services use. This
means that any log line shown in these system logs that syslog or rsyslog
maintain can be spoofed (they are exactly the same as real log lines).

Since some of the features of lfd rely on such log lines, spoofed messages
can cause false-positive matches which can lead to confusion at best, or
blocking of any innocent IP address or making the server inaccessible at

Any option that relies on the log entries in the files listed in
/etc/syslog.conf and /etc/rsyslog.conf should therefore be considered
vulnerable to exploitation by end-users and scripts run by end-users.

NOTE: Not all log files are affected as they may not use syslog/rsyslog

The option RESTRICT_SYSLOG disables all these features that rely on affected
logs. These options are:

This list of options use the logs but are not disabled by RESTRICT_SYSLOG:

The following options are still enabled by default on new installations so
that, on balance, csf/lfd still provides expected levels of security:

For advice on how to help mitigate these issues, see /etc/csf/readme.txt

If you set RESTRICT_SYSLOG to "0" or "2" and enable any of the options listed
above, it should be done with the knowledge that any of the those options
that are enabled could be triggered by spoofed log lines and lead to the
server being inaccessible in the worst case. If you do not want to take that
risk you should set RESTRICT_SYSLOG to "1" and those features will not work
but you will not be protected from the exploits that they normally help block

0 = Allow those options listed above to be used and configured
1 = Disable all the options listed above and prevent them from being used
2 - Disable only alerts about this feature and do nothing else



Agora fica dúvida deixar 0, 1 ou 2!


É uma dúvida cruel, deixando 0 ou 2 podemos ter linhas de logs fraudados, e como eles informam, na pior das hipóteses o servidor poderá ficar inacessível.


Deixando como 1, nos protegeremos contra log fraudado e do servidor ficar inacessível, porém não receberemos mais os alertas mencionados acima e a segurança que eles proporcionam.


Se alguém estiver mais aprofundado no assunto e puder dar uma força, valeu!

Link to comment
Share on other sites

E agora?


É aquele negócio, ou vai ou racha :D


0 ou 2 = Possibilidade de logs fraudados ou na pior das hipóteses o servidor poderá ficar inacessível, PORÉM recebendo alertas e outros logs que julgo serem importantes para segurança/monitoramento;




1 =  Proteção contra log fraudado e do servidor ficar inacessível PORÉM  sem alguns Logs/Alertas que muitos utilizam.


Pelo que entendi utilizando um ou outro podemos ter segurança diminuída, e segurança diminuída o servidor pode de qualquer forma vir a ficar Offline. Já que mesmo utilizando '1' vários logs/alertas serão desativados e com isto a segurança pode ir pro saco.


Se alguém mais aprofundado e conhecedor do assunto puder compartilhar sua experiência a comunidade agradece, porque para mim até o momento, estarei trocando 6 por meia dúzia, deixando 0/2 ou 1. No momento prefiro deixar 0, até ter algo mais concreto.

Link to comment
Share on other sites

A 2 seria da maneira como está e sempre esteve, você permanece vulnerável a esse exploit (que não deve ser novo) porém tem os alertas e certas funções funcionando, apesar de que boa parte desses alertas e bloqueios podem ser feitos pelo cPHulk Bruteforce, vai de cada um...

Link to comment
Share on other sites

Em teoria, se não optar pela opção 2, o csf deixa de fornecer avisos sobre bloqueios e sobre relay.


Sendo assim, quem não tem o habito de monitorar o servidor por esses emails acho que poderia desativar o syslog e ativar o cphulk.


O problema do cphulk é que a remoção de ip bloqueado precisa ser feito via whm :(

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

Em teoria, se não optar pela opção 2, o csf deixa de fornecer avisos sobre bloqueios e sobre relay.


Sendo assim, quem não tem o habito de monitorar o servidor por esses emails acho que poderia desativar o syslog e ativar o cphulk.


O problema do cphulk é que a remoção de ip bloqueado precisa ser feito via whm :(

Não necessariamente, o cPHulk armazena todas as informações num banco de dados, logo da pra montar um script bem tranquilo pra fazer a limpeza.
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

  • Create New...

Important Information

Do you agree with our terms?