feb 042020
 

Dit bericht valt in de categorie “hoezo, daar had je nog niet van gehoord?”. Mijn  internet-router thuis heeft een firewall, mijn laptop en mijn desktop hebben een firewall. Voor Linux had ik wel eens van iptables gehoord, maar dat was zo’n mysterieus ding waar ik nooit verder ingedoken was. Als je “gewoon” een website hebt op een shared server, dan doe je er niets mee. Dus tja, hoe moest ik weten (bijna 8 jaar geleden!)  dat op mijn VPS (Virtual Private Server) waar ik Webmin en Virtualweb op geïnstalleerd had, niet over deze extra beveiliging beschikte.

Of in ieder geval, niet op een manier die ook iets leek te kunnen doen aan de toch wel irritante, met enige regelmaat terugkomende pogingen om mijn server te hacken. Die hadden dan alleen tot gevolg dat de arme machine volledig overspoeld werd met verzoeken om in te loggen of om pagina’s op te vragen.

Toen ik afgelopen zondag, toen het dashboard van Webmin weer eens aangaf dat de server het heel erg druk had (en niet vanwege het enorme aantal echte bezoekers) en ik hem hardhandig moest rebooten om weer in de lucht te krijgen, kwam ik tijdens een zoektocht naar mogelijke oplossingen pas voor het eerst ConfigServer Security & Firewall (csf) tegen. Zoals altijd, toen ik die afkorting “csf” eenmaal kende kwam ik een enorme hoeveelheid berichten erover tegen, maar dat was toen voor het eerst.

CSF blijkt een slimme firewall te zijn die niet alleen dom een aantal soorten verkeer tegenhoudt, maar ook eentje die de hele dag niets anders aan het doen is dan kijken wie er nu weer rottigheid aan het uithalen is. Dat wil zeggen: als een IP-adres uit China, of welk ander land dan ook, in korte tijd (bv) 5x een mislukte poging doet om via SSH op mijn server in te loggen, dan wordt dat IP-adres automatisch geblokkeerd. Als iemand teveel aanvragen op de webserver doet (in te korte tijd achter elkaar), dan wordt dat IP-adres automatisch geblokkeerd.
Standaard is die blokkade niet helemaal permanent. Dat voorkomt dat je mensen per ongeluk permanent de toegang tot je site of de server ontzegt, bij zo’n server als de mijne zou zo’n blokkade haast wel permanent mogen zijn.

CSF heeft een groot aantal configuratiemogelijkheden. Maar die worden via een webinterface en met de nodige toelichting beschikbaar gesteld. Nog niet alles staat precies zo zoals het zou moeten. Zo bleek de SMTP-blokkade die standaard op AAN staat, ook de meldingen van mijn WordPress-server tegen te houden. En dat is natuurlijk niet de bedoeling. Ik begrijp uit de toelichting dat dat eigenlijk betekent dat die niet op de meest veilige manier de berichten verstuurd. Dus de blokkade staat even UIT totdat ik dat aangepast heb. En dat is een van de andere veiligheden van de firewall: hij houdt ook verkeer naar buiten toe dat er verdacht uitziet tegen.

Installeren onder Webmin

Installatie was eenvoudig, ik heb deze instructies gevolgd:

Uiteraard heb je een server met webmin nodig, Perl moet geïnstalleerd staan (was al zo, maar yum install perl-libwww-perl -y voegt dit onder CentOS toe) en het vooraf draaien van yum update of apt-get update (afhankelijk van je Linux versie) is ook aan te raden.

Dan heb je een SSH-verbinding met de server nodig, waarna je daar de voorbereidingen treft:

cd /usr/src

wget https://download.configserver.com/csf.tgz

tar -xzf csf.tgz

cd csf

sh install.sh

In Webmin ga je dan naar “Webmin Configuration” en “Webmin Modules”. Daar kies je voor het installeren van een module uit een lokaal bestand: /usr/local/csf/csfwebmin.tgz

CSF wordt eerst in testmodus gestart, die moet je uitzetten en RESTRICT_SYSLOG aanzetten.

CSF wilde niet goed samenwerken met de bij mij geïnstalleerde versie van Authentic Theme binnen Webmin. De voorgestelde optie van het verwijderen van csf.min.js was niet voldoende. Uiteindelijk heb ik Authentic Theme uitgezet voor CSF (alleen voor CSF!) door in /etc/csf/csf.config de setting STYLE_CUSTOM = "1" te wijzigen in STYLE_CUSTOM = "0".

Eind goed al goed?

Zijn hier nu alle problemen mee opgelost? Dat zal vast niet, maar als ik zie met welke frequentie nu, terwijl de server gewoon doorwerkt, IP-adressen geblokkeerd worden, dan zal het in ieder geval verschil uitmaken. En hopelijk merk ik voor het overige alleen dat de server gewoon stabieler in de lucht blijft.

0 0 stem
Bericht waardering
1 Reactie
Inline Feedback
Bekijk alle reacties
trackback

Een firewall op mijn VPS (Virtual Private Server) https://t.co/MVLuBHua0E