VPS上的安全防护 -CSF防火墙 很多国外idc服务器都在使用

伟大的A

看到有同学讲到VPS安全方面的，我也说说，推荐给大家一个软件 CSF http://configserver.com/cp/csf.html

这两年使用了很多国外的虚拟主机，发现他们的服务器上都几乎都有安装这个软件。这个软件也可以安装在VPS上的，给你的VPS安全加上一道安全锁。

比如说只开通某些端口、监控进程/可疑文件、屏蔽端口扫描的IP 、监控负载报警，某种程度抵御各种攻击，以及一些异常发送邮件通知等等，这个软件都可以做到。如果通过各种命令来完成这些操作，很多新手可能不懂。

CSF可以安装在centos redhat 上面，完全支持xen、kvm虚拟架构的VPS，openvz也可以安装，有小部分功能用不了。如果VPS或服务器上安装有cpanel directadmin webmin控制面板，还可以使用图形界面来配置，非常直观。如果没有的话，也可以修改CSF的配置文件来实现。

安装很简单。

1. wget http://www.configserver.com/free/csf.tgz
   
2. tar -xzf csf.tgz
   
3. cd csf
   
4. sh install.sh

复制代码

安装后运行下面的命令检查是否正常。

1. perl /usr/local/csf/bin/csftest.pl

复制代码

如果是openvz 可能会有一两个错误提示，不过没关系，大部分功能还是可以使用的。
接下来开始配置CSF  ，要修改的是这个文件  /etc/csf/csf.conf  ,修改之前先备份

1. cp /etc/csf/csf.conf /etc/csf/csf.conf.bak

复制代码

然后就可以开始了。安装后默认是测试模式，你要将

1. TESTING = "1"

复制代码

改成

1. TESTING = "0"

复制代码

CSF才能正常工作，一般来说默认的配置也是可以的正常使用的，这是针对大多数服务器通用的配置，但是每个人的需求可能不一样，可以阅读CSF的帮助文档进行更改

1. http://configserver.com/free/csf/readme.txt

复制代码

讲一下最常用的修改 ，修改端口，只运行哪些端口是开启的。其余的端口都禁用。比如说关于端口部分可以改成下面这样子 ，只留下80端口和ssh端口，如果还需要那些端口可以自己添加, 比如说要使用ssl证书，就要把443端口加上去。

1. # Allow incoming TCP ports
   
2. TCP_IN = "80,4789"
   
3. 
   
4. # Allow outgoing TCP ports
   
5. TCP_OUT = "80"
   
6. 
   
7. # Allow incoming UDP ports
   
8. UDP_IN = ""
   
9. 
   
10. # Allow outgoing UDP ports
    
11. # To allow outgoing traceroute add 33434:33523 to this list
    
12. UDP_OUT = ""

复制代码

设置最大的屏蔽IP数量 有临时和永久两种，最大值是1000个

1. DENY_IP_LIMIT = "100"
   
2. DENY_TEMP_IP_LIMIT = "100"

复制代码

如果你不想某些IP访问你的网站，你可以把IP添加到这个文件

1. /etc/csf/csf.deny

复制代码

可以设置某个IP的最大连接数

1. CT_LIMIT = "200"

复制代码

设置负载达到多大的时候发邮件通知你  ，比如负载达到4的时候。

1. PT_LOAD_LEVEL = "4"

复制代码

还有其他的很多功能可以使用，具体可以参考CSF的readme文档 http://configserver.com/free/csf/readme.txt

修改后记得重启csf 使新设置生效。

1. csf -r

复制代码

如果是使用cpanel da 或者是webmin ，csf有一个图形界面可以提示服务器上存在的不安全配置，并告诉你要去修改哪里，非常好用。




纯手打，如果这个对你有用，加点分把，