CSF中文手册

CSF中文手册 本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 美国主机侦探 美国主机侦探教程制作组 2011 年 02 月 www.idcspy.com 翻 译: 制 作 者: 制作时间: 制作网站: 使用说明 本电子书的内容是由美国主机侦探(www.idcspy.com)根据官 方整理制作。这个是第一个版本，后续还会进行修正，请及时关 注网站获取最新版本。如果你发现翻译错误请通知我们： admin@idcspy.com . 本电子书为 PDF 格式，为了方便您浏览，我们为电子书制作 了书签。 可以用书签格式的导航： 1. 点击左侧的书签标志，打开书签，点击书签的内容就 可以转到对应页面。 2. 你也可以利用PDF的搜索功能来快速查找您需要的内 容。 本电子书由美国主机侦探教程组制作，虽然是对收集的资料 进行整理，但是，教程制作组人员为此也付出了的辛勤的汗水， 所以，请勿私自将全部或部分用于商业用途。转载书中内容请注 明出处。 本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 Introduction 简介 ......................................................................... 2 ConfigServer 防火墙 （csf）................................................ 2 登录失败守护进程（lfd）........................................................ 2 控制面板界面 ............................................................................. 3 csf原理 ............................................................................................. 4 lfd 原理 ........................................................................................... 5 csf命令行选项 ................................................................................. 6 lfd命令行选项 ............................................................................... 11 登录跟踪 ......................................................................................... 13 脚本的邮件提醒 ............................................................................. 14 进程跟踪 ......................................................................................... 15 目录监控 ......................................................................................... 17 高级许可/拒绝过滤器 ................................................................... 18 多个以太网设备 ............................................................................. 20 在一台普通的Linux服务器上安装 ............................................... 20 FTP连接问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 说明 ........................................................................... 20 信使服务 ......................................................................................... 21 HTML 信使服务器 ..................................................................... 22 TEXT 信使服务 ......................................................................... 23 Messenger User信使用户 ....................................................... 23 Block Reporting阻止报告 ........................................................... 23 Port Flood Protection端口洪水攻击保护 ............................... 24 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 External Pre- and Post- Scripts外部前-/后-脚本 ............. 26 lfd Clustering lfd集群 ........................................................... 26 lfd Cluster CLI and UI lfd集群CLI和UI ............................... 28 A Note on lfd Cluster Security lfd集群安全须知 ........ 28 监控IP地址 ..................................................................................... 29 Port Knocking端口撞击 ............................................................... 32       Introduction 简介 ConfigServer 防火墙 （csf） 我们开发出了 SPI iptables 防火墙，该防火墙简单易懂，配置灵活，使用 方便。 此外，还有安全检查以确保其平稳运行。 csf 可以用于任何（支持的-见网站）普通的 Linux 操作系统。 csf 安装包括 cPanel，DirectAdmin 以及 Webmin 系统的预配置和控制面板 用户界面。 登录失败守护进程（lfd） 作为 ConfigServer 防火墙的补充，我们还开发出了一个 24 小时运行的守护 进程，该进程能定期（每隔几秒）扫描短时间内服务器登陆失败的最新日志文件 记录。这样的登陆尝试通常被称为”暴力攻击”，守护进程会对该形式快速响应 然后迅速封了入侵者的 IP。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 其他类似产品每 x分钟才运行一次，因此会漏掉许多非法强行进入系统的登 陆尝试并直到它们结束才能发现。 我们的守护进程无须等待那么久，因此能更 有效的执行任务。 lfd 可以运行一套全方位检查以提醒服务器管理员该服务器的变化，潜在问 题以及可能的危险。 在 cPanel 务器上，lfd 与 WHM>服务管理合并，如果 lfd 运行失败，可以重 新启用。 控制面板界面 To help with the ease and flexibility of the suite we have developed a front-end to both csf and lfd for cPanel, DirectAdmin and Webmin. From there you can modify the configuration files and stop, start and restart the applications and check their status. This makes configuring and managing the firewall very simple indeed. There is also an abbreviated UI for mobile phone access to Quick Allow, Quick Deny and Remove Deny. Direct URLs: cPanel: https://1.2.3.4:2087/cgi/addon_csf.cgi?mobi=1 DA: 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 https://1.2.3.4:2222/CMD_PLUGINS_ADMIN/csf/index.html?mobi=1 Webmin: https://1.2.3.4:10000/csf/?mobi=1 There is, of course, a comprehensive Command Line Interface (CLI) for csf. 为了方便用户使用本脚本，我们为控制面板开发了通向 csf 和 lfd，cPanel, DirectAdmin 以及 Webmin 控制面板的用户界面。 您可以在这里修改配置文件，停止，启动或重新启动应用程序，以及查看他 们的状态。这就使配置和管理防火墙变得非常简单。 还有一个小型的用户界面用于移动电话访问，用户可以通过该界面进行快速 允许，快速拒绝和拒绝删除等操作。网址： cPanel: https://1.2.3.4:2087/cgi/addon_csf.cgi?mobi=1 DA: https://1.2.3.4:2222/CMD_PLUGINS_ADMIN/csf/index.html?mobi=1 Webmin: https://1.2.3.4:10000/csf/?mobi=1 csf原理 和大部分 iptables 防火墙配置一样，csf 是阻止所有连接然后只允许您想 要的连接进出。在 iptables 里删除所有协议上进出服务器的全部连接，然后允 许从已有的连接中进出流量，接着分别为 TCP 和 UDP 开放进出端口。这样可以精 确地控制哪些流量可以进出服务器，并保护服务器免受恶性攻击。 尤其是可以通过 IP 地址限制防止未经授权访问网络守护进程，如果某服务 受到威胁，该程序还可以阻止对网络守护进程的攻击，典型的例子就是某随机开 放端口运行的黑客 sshd 守护进程。也许最重要的原因是帮助减轻 root 泄露的影 响，通常对付这种攻击的唯一方法是打开黑客访问的服务器的守护进程。虽然这 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 样不能阻止 root 泄露，但是它可以减慢该进程并足以引起您的注意进而做出反 应。 端口过滤防火墙还可以在用户级别泄露发生以及黑客安装了 DOS 工具影响 其他服务器时起作用。除了特定端口，阻止外向连接的防火墙可以帮助防止 DOS 攻击，并能让您在系统日志里立即看到。 csf 的被 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 成保持它的配置简单，但仍然具有足够的灵活性，让您选择适 合服务器环境的选项。通常情况下，防火墙的脚本繁冗复杂，用户无法找到问题 出在哪里，更别说轻松解决这些问题了。 使用 iptables 拒绝连接的内核日志记录，您需要确定内核日志记录守护进 程(klogd) 已启动。通常情况下，VPS 服务器的该进程是关闭的。您要查看 /etc/init.d/syslog，并确保没有任何 klogd 行被注释掉。如果您修改文件，记 得重新启动系统日志。 lfd 原理 保护服务器网络守护进程免受入站攻击的最佳方法就是监控它们的认证日 志。同一地址短时间内数次登录尝试无效常常意味着有人在尝试通过暴力法登陆 服务器，通常是通过猜测用户名和密码，因而产生认证和登录失败。 lfd 可以监控大部分经常被滥用的协议，SSHD, POP3, IMAP, FTP 以及 HTTP 密码保护。和其他应用程序不同，lfd 是一个无间断监控日志的守护进程，因此 可以在发现此类攻击后几秒内迅速反应。它还可以跨协议监控，因此即使短时间 内尝试发生在不同协议上，这些尝试也将会根据阈值被计入。 一旦达到设定的失败登录次数，lfd 会立即派生一个子进程，同时使用 csf 阻止该攻击 IP 地址进出连接，并迅速及时地阻止其攻击。通常其他使用时钟守 护作业的类似程序 5分钟执行一次，因此会完全错过蛮力攻击，或执行时该攻击 已结束，或只是在等待时机。此时 lfd 已经阻止攻击者的 IP 地址了。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 通过子进程执行阻止和发送提醒邮件的操作，主守护进程不会被延迟，可以 继续监控日志。 如果您想知道 lfd 何时阻止了某个 IP 地址，您可以启用电子邮件提醒（默 认设置），然后在/var/log/lfd.log 里查看日志。如果您使用 logcheck，您可以 通过编辑 logcheck.sh 和添加以下命令将其添加到您的日志监控： $LOGTAIL /var/log/lfd.log >> $TMPDIR/check.$$ 将它添加到您所选择的其他日志中。 csf命令行选项 在初次配置和启动 csf 之前，最好先通过：perl /etc/csf/csftest.pl 运行/etc/csf/csftest.pl 脚本。 该脚本可以测试所需的 iptables 模块是否在服务器上正常运行。如果它不 能执行全部功能也没关系，只要该脚本没有报告任何致命的错误即可。 您可以通过使用# csf -h 查看 csf 命令行选项. Usage: /usr/sbin/csf [option] [value] 用途: /usr/sbin/csf [选项] [值] Option 选项 Meaning 含义 -h, --help Show this message 显示此消息 -l, --status List/Show iptables configuration 列出/显示 iptables 配置 -l6, --status6 List/Show ip6tables configuration 列出/显示 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 ip6ables 配置 -s, --start Start firewall rules 启用防火墙规则 -f, --stop Flush/Stop firewall rules (Note: lfd may restart csf)清除/停止防火墙规则（注意：lfd 可能重新启动 csf） -r, --restart Restart firewall rules 重新启用防火墙规则 -q, --startq Quick restart (csf restarted by lfd)快速重启（lfd 重启 csf） -sf, --startf Force CLI restart regardless of LF_QUICKSTART setting 不顾 LF_QUICKSTART 设置，强制 CLI 重新启动 -a, --add ip Allow an IP and add to /etc/csf.allow 允许一个 IP 并添加至/etc/csf.allow -ar, --addrm ip Remove an IP from /etc/csf.allow and delete rule 从/etc/csf.allow 删除一个 IP，删除规则 -d, --deny ip Deny an IP and add to /etc/csf.deny 拒绝一个 IP 并添加至/etc/csf.deny -dr, --denyrm ip Unblock an IP and remove from /etc/csf.deny 解 除对一个 IP 的阻止并从/etc/csf.deny 里删除 -df, --denyf Remove and unblock all entries in /etc/csf.deny 删除并解除对/etc/csf.deny 里所有记录的阻止 -g, --grep ip Search the iptables rules for an IP match (incl. CIDR)查询与某 IP 匹配的 iptables 规则(包括 CIDR） -t, --temp Displays the current list of temp IP entries and 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 their TTL 显示当前临时 IP 及其 TTL 的列表 -tr, --temprm ip Remove an IPs from the temp IP ban and allow list 从临时禁止和允许 IP 列表删除 IPs -td, --tempdeny ip ttl [-p port] [-d direction] Add an IP to the temp IP ban list. ttl is how long to 添加一个 IP 至临时禁止 IP 列表， blocks for (default:seconds, can use one suffix of h/m/d)ttl 是指端口的阻止时间（默认：秒，可以使用一个 h/m/d 后缀） Optional port. Optional direction of block can be one of: 可选端口。阻止方向可以是以下任意一种：进入，传出或进出（默 认：进入） in, out or inout (default:in) -ta, --tempallow ip ttl [-p port] [-d direction] Add an IP to the temp IP allow list (default:inout) 添加一个 IP 至临时允许 IP 列表（默认：进出） -tf, --tempf Flush all IPs from the temp IP entries 清除所 有临时 IP 记录 -cp, --cping PING all members in an lfd Cluster PINGlfd 群 的所有成员 -cd, --cdeny ip Deny an IP in a Cluster and add to /etc/csf.deny 拒绝群里的某个 IP，并添加到/etc/csf.deny -ca, --callow ip Allow an IP in a Cluster and add to /etc/csf.allow 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 允许群里的某个 IP，并添加到/etc/csf.allow -cr, --crm ip Unblock an IP in a Cluster and remove from /etc/csf.deny 解除对群里某个 IP 的阻止，并从/etc/csf.deny 删除 -cc, --cconfig [name] [value] Change configuration option [name] to [value] in a Cluster 将群里的配置选项[name]改为[value] -cf, --cfile [file] Send [file] in a Cluster to /etc/csf/ 在群里发 送[file]至/etc/csf/ -crs, --crestart Cluster restart csf and lfd 重新启动群 csf 和 lfd -m, --mail [addr] Display Server Check in HTML or email to [addr] if present 在 HTML 显示服务器检查或发送邮件至[addr]地址，如果存在的话 -c, --check Check for updates to csf but do not upgrade 检 查 csf 更新但不更新 -u, --update Check for updates to csf and upgrade if available 检查 csf 更新并更新，如果可以的话 -uf Force an update of csf 强制更新 csf -x, --disable Disable csf and lfd 禁用 csf 和 lfd -e, --enable Enable csf and lfd if previously disabled 启用 之前禁用的 csf 和 lfd -v, --version Show csf version 显示 csf 版本 您可以通过这些选项方便快捷地控制和查看 csf。所有的 csf 配置文件都在 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 /etc/csf 里，包括： csf.conf - 主要配置文件,它有说明每个选项用途的注释 csf.allow - 防火墙始终允许通过的 IP 和 CIDR 地址列表 csf.deny - 防火墙始终不允许通过的 IP 和 CIDR 地址列表 csf.ignore- lfd 应忽略，并且发现后不阻止的 IP 和 CIDR 地址列表 csf.*ignore- 列出了 lfd 应忽略的文件，用户，IP 地址的各种文件。具体 参见每个文件。 如果修改上述任何文件，您要重新启动 csf 才能生效。如果您使用命令行选 项添加或拒绝 IP 地址，csf 会自动生效。 csf.allow 和 csf.deny 都可以在列出的 IP 地址后做评论。该评论必须和 IP 地址在同一行，否则 csf.deny 的 IP 轮换会将其删除。 如果直接编辑 the csf.allow 或 csf.deny 文件，不论是从 shell 或 WHM UI， 您都要在 IP 地址与 评论之间插入#，如下： 添加 11.22.33.44 # 因为我不喜欢它们 您也可以在使用 the csf -a 或 csf -d 命令时添加评论，不过不是插入 # ， 而是： 添加 csf -d 11.22.33.44 因为我不喜欢它们 如果您使用 shell 命令，则每行注释都要有时间戳。您还会发现，如果 lfd 阻止某 IP 地址，它也会添加一个描述性的评价以及时间戳。 如果已达到该行限制，您不想csf在 csf.deny轮换某个 IP，则可以添加 "do 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 not delete" 至评价行， e.g.: 添加 11.22.33.44 # 因为我不喜欢它们。do not delete 你还可以在 csf.allow 或 csf.deny 使用 Include 语句收入符合上述条件的 其他文件。您必须 给该文件指定完整的路径，e.g. in /etc/csf/csf.allow: Include /etc/csf/csf.alsoallow 注意：所有从 csf.allow 或 csf.deny 添加或删除 IP 地址的 csf 命令均不能 用于附加文件，它们被视作只读。 lfd命令行选项 lfd 自身没有任何命令行选项，它受控于关闭和启动守护进程的初始化脚本 /etc/init.d/lfd。 它是通过/etc/csf/csf.conf 文件配置的。 查看 lfd 能做什么的最佳方法是在 /var/log/lfd.log 里查看，因为那里记 录了其所有活动。 各种各样的邮件提醒模板如下，应谨慎修改以下各种邮件提醒模板，以保持 正确的格式： /etc/csf/alert.txt - for port blocking emails 端口阻止邮件 /etc/csf/tracking.txt - for POP3/IMAP blocking emails POP3/IMAP 阻止邮件 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 /etc/csf/connectiontracking.txt - for connection tracking emails 连 接跟踪邮件 /etc/csf/processtracking.txt - for process tracking alert emails 进 程跟踪提醒邮件 /etc/csf/usertracking.txt - for user process tracking alert emails 用户进程跟踪提醒邮件 /etc/csf/sshalert.txt - for SSH login emails SSH 登录邮件 /etc/csf/sualert.txt - for SU alert emails SU 提醒邮件 /etc/csf/scriptalert.txt - for script alert emails 脚本提醒邮件 /etc/csf/filealert.txt - for suspicious file alert emails 可疑文件 提醒邮件 /etc/csf/watchalert.txt - for watched file and directory change alert emails 被监控文件和目录的修改提醒邮件 /etc/csf/loadalert.txt - for high load average alert emails 高负荷 提醒邮件 /etc/csf/resalert.txt - for process resource alert emails 进程资源 提醒邮件 /etc/csf/exploitalert.txt - for system exploit alert emails 系统利 用提醒邮件 /etc/csf/integrityalert.txt - for system integrity alert emails 系 统完整性提醒邮件 /etc/csf/relayalert.txt - for email relay alert emails 邮件转发提 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 醒邮件 /etc/csf/portscan.txt - for port scan tracking alert emails 端口扫 描跟踪提醒邮件 /etc/csf/permblock.txt - for temporary to permanent block alert emails 临时至永久阻止提醒邮件 /etc/csf/netblock.txt - for netblock alert emails 网络阻止提醒邮件 /etc/csf/accounttracking.txt - for account tracking alert emails 账 户跟踪提醒邮件 /etc/csf/queuealert.txt - for email queue alert emails 邮件列表提 醒邮件 /etc/csf/logfloodalert.txt - for log file flooding alert emails 日 志文件泛滥提醒邮件 /etc/csf/cpanelalert.txt - for WHM/cPanel account access emails WHM/cPanel 账户访问邮件 /etc/csf/portknocking.txt - for Port Knocking alert emails 端口撞 击提醒邮件 登录跟踪 登录跟踪是 lfd 的的延伸，它能跟踪 POP3 和 IMAP 登录，并限制每个 IP 地 址每个账户每小时 X 个连接。它使用 iptables 阻止攻击者至适当的协议端口， 每小时刷新一次，并重新计算登录次数。这些阻止都是临时的，可以通过手动重 启 csf 删除。 有两种设置，一种是 POP3，另一种是 IMAP 登录。由于很多用户登录 IMAP 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 执行协议交易（他们没有必要反复登录，但是不能避免不良客户端编程！），因此 通常不跟踪 IMAP。如果您真的需要限制 IMAP 登录，最好将登录限制设置到很高。 如果您想知道 lfd 何时临时阻止了某个 IP 地址，您可以启动邮件跟踪提醒 选项（默认设置）。 您也可以使用正规表达匹配添加您自己的登录失败跟踪。详情请参阅 /etc/csf/regex.custom.pm。 重要提醒：为了让 SSHD 登录跟踪顺利启动，您要确保/etc/ssh/sshd_config 的 UseDNS 已禁用： UseDNS no 这样 sshd 就重新启动了。 脚本的邮件提醒 lfd 可以扫描从服务器脚本进出端口发送的邮件。 您需要添加一行扩展邮件日志记录行至第一个文本框内的 WHM >Exim Configuration Editor > Switch to Advanced Mode >，并添加以下内容，才能使用这个功能： log_selector = +arguments +subject +received_recipients 如果您已经使用扩展的进出端口日志记录，那么您可以连+arguments 一起 用或使用+all 如果一小时内出现相同 cwd= 路径的多行 LF_SCRIPT_LIMIT，该设置将会发 送提醒邮件。这样有利于识别服务器上的垃圾邮件脚本，尤其是在 nobody 账户 下运行的 PHP 脚本。发送的邮件包括进出端口日志行，并查找该路径发送邮件的 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 脚本，可能是罪魁祸首。 该选项的提醒邮件使用/etc/csf/scriptalert 文本文件。 如果您使用 LF_SCRIPT_ALERT 选项，lfd 将用 chattr +i 和 chmod 000 禁用 该路径，则该用户不能重新启用。提醒邮件也包含重新启用攻击路径的所需命令。 漏报将被添加到/etc/csf/csf.signore，lfd 将忽略这些列出的脚本。 进程跟踪 该选项可以跟踪用户和 nobody 进程，检查其可疑操作或开放网络端口。其 目的在于识别服务器上运行的潜在的利用进程，即使它们被混淆并显示成系统服 务。如果发现一个可疑进程，会发送一封含有相关信息的提醒邮件。 收件人有责任进一步调查该进程，该脚本不会采取任何行动。系统只报告一 次进程(PIDs)，除非重新启动 lfd。 可以在忽略文件 /etc/csf/csf.pignore 里将用户名或二进制完整路径列 入友好名单。应谨慎添加忽略用户或文件，这样才不会出现误报。 您必须使用以下格式： exe:/full/path/to/file user:用户名 cmd:命令行 /proc 里报告的命令行的结尾的空字符被删除了，并且其他出现的地方均用 空格代替。因此您指定的文件行必须用空格分开命令行参数，而不是用空字符。 最好谨慎使用命令行忽略功能，因为每一步都有可能改变报告给操作系统的 内容。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 不要将路径列为 perl 或 php， 这样将不能发现可疑网络脚本。 更多有关可执行文件和命令行的信息，您可以参阅并了解 linux /proc 伪文 件系统是如何工作的： man proc man lsof 本应用程序不探讨如何在 linux /proc 体系构架调查进程。 用 processtracking.txt 邮件模板发送邮件提醒。 注意：由于忽略 root 进程，该功能不能检查到 root 泄露-您需要使用 IDS 工具来确保其安全。 注意：使用这个功能您可能得到漏报。该功能的目的在于引起您注意在某用 户账户下运行很长一段时间的进程，和在服务器外有开放端口的进程。在您忽略 或将其放入 csf.pignore 文件之前，您需要证实其不是真的阳性。 我们在保持谨慎度和查到攻击者的灵敏度之间平衡的前提下，已尽全力降低 伪-阳性概率， 脚本本身并不能辨别恶意脚本函数和拟脚本函数-这是您作为服务器管理员 的工作;-) PT_SKIP_HTTP 设置不检查直接或者通过 Apache 中 CGI 运行的脚本，确实可 以减少伪-阳性的数量。。不过，禁用该设置能够更全面的检查各种类型的攻击行 为。 另外，也可以通过禁用PT_SKIP_HTTP并增加PT_LIMIT来避免查到网页脚本， 不过，这意味着真正的攻击者将在被查到之前运行更长时间。 当然，您也可以关闭该功能-如果您真的需要的话。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 目录监控 目录监控启用 lfd 来检查/tmp 和/dev/shm，以及其他相关目录的可疑文件， 即脚本攻击者。 一旦发现可疑文件，系统就会用 filealert.txt.模板发送一封提醒邮件。 注意：每份可疑文件只发送一封提醒邮件，除非重新启动 lfd。所以，如果 您删除一份可疑文件，记得要重新启动 lfd。 在监控目录时发现任何可疑文件，启用相应的设置，这些可疑文件将被加入 /etc/csf/suspicious.tar 压缩包，然后从它们的原始位置删除。符号链接也被 删除。 如果您要在当前位置解压压缩包，可以用： tar -xpf /etc/csf/suspicious.tar 它可以保存 原文 少年中国说原文俱舍论原文大医精诚原文注音大学原文和译文对照归藏易原文 件的路径和权限。 可以添加任何漏报至/etc/csf/csf.fignore，lfd 将忽略所列文件和目录。 csf.fignore 里列出了 lfd 目录监控将忽略的文件。您需要制定该文件的完 整路径。 您还可以使用 perl 正则表达模式匹配，例如： /tmp/clamav.* /tmp/.*\.wrk 记住您将需要转义特殊字符（在它们前面加上反斜线）比如\. \? 模式匹配只在字符串包含一个星号(*)时使用，其他情况都使用完整的文件 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 路径匹配。 您也可以通过在其前面加上 user:来添加用户名至特定用户的忽略文件所 有者，例如：user:bob 注意：root 用户所有的文件会被忽略 perl 正规表达式信息： http://www.perl.com/doc/manual/html/pod/perlre.html 目录监控的第二个方面是用 LF_DIRWATCH_FILE 启用。该选项可以让 lfd 监 控某个特定的文件或目录，一旦该文件或目录有变动，就会发送 watchalert.txt 提醒邮件。它是通过与该条目输出的"ls -laAR" md5sum 匹配来完成的，因此如 果指定的话，它会覆盖目录， 高级许可/拒绝过滤器 在/etc/csf.allow 和/etc/csf.deny 里，您可以通过以下格式添加更复杂的 端口和 ip 过滤器（您需要 指定一个端口和一个 IP 地址）： tcp/udp|in/out|s/d=port|s/d=ip|u=uid 说明： tcp/udp : tcp 或 udp 或 icmp protocol in/out : 进入或传出连接 s/d=port : 源或目标端口编号(或 ICMP 类型) (用_符号表示端口范围, e.g. 2000_3000) 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 s/d=ip : 源或目标 IP 地址 u/g=UID : 源数据包的 UID 或 GID,反映传出连接 , s/d=IP 值忽略 注意：ICMP 过滤用"port"表示 s/d=port 来设置 ICMP 类型。无论您用 s 还 是 d 都一样，二者都使用 iptables --icmp-type 选项。"iptables -p icmp -h" 表示有效 ICMP 类型。每个过滤器只支持一种类型。 Examples: 例如： # TCP connections inbound to port 3306 from IP 11.22.33.44 tcp|in|d=3306|s=11.22.33.44 # TCP connections outbound to port 22 on IP 11.22.33.44 tcp|out|d=22|d=11.22.33.44 注意|如果省略，默认协议设置为"tcp", 默认连接方向为"in"，所以 # TCP connections inbound to port 22 from IP 44.33.22.11 d=22|s=44.33.22.11 # TCP connections outbound to port 80 from UID 99 tcp|out|d=80||u=99 # ICMP connections inbound for type ping from 44.33.22.11 icmp|in|d=ping|s=44.33.22.11 # TCP connections inbound to port 22 from Dynamic DNS address 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 # www.configserver.com (for use in csf.dyndns only) tcp|in|d=22|s=www.configserver.com 多个以太网设备 如果您要将所有规则应用到多个以太网 NICs，您可以将 ETH_DEVICE 设置为 界面名，其后紧跟一个加号。例如，eth+将应用所有的 iptables 规则至 eth0, eth1 等。 这就是说，如果您将 ETH_DEVICE 设置为空白，则所有规则会平均地应用于 所有以太网设备。 在一台普通的Linux服务器上安装 csf+lfd 可以在一台普通的 Linux 服务器上运行。不过其功能有些改变： 1. 默认端口范围是针对典型的非 cPanel 控制面板网络服务器的，因此可能 需要做些改变来适应服务器环境； 2. 可能需要在/etc/csf/csf.pignore 扩展进程跟踪忽略文件来适应服务 器环境； 3. 包括用于配置 csf 的 Webmin 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 模块-详情请查看 the install.txt 所有安装代码库都一样，csf.conf 文件删除了 cPanel 控制面板特定选项， 并添加了 GENERIC 普通的选项。 FTP连接问题说明 在使用 SPI 防火墙时，要确保服务器安装了使用被动（PASV）模式连接的 FTP 用户应用程序。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 在运行 Monolithic 内核的服务器上（例如：VPS Virtuozzo/OpenVZ 和自定 义内核）ip_conntrack 和 ip_conntrack_ftp iptables 内核模块可能不能使用 或功能不齐全。如果是这样，FTP 被动模式(PASV)将不能工作。那么，您需要在 防火墙打开一个洞，并配置 FTP 服务器以使用该洞。 例如，您可以使用 pure-ftpd 添加端口范围 30000:35000 到 TCP_IN，添加 下述行至/etc/pure-ftpd.conf ，然后重启 pure-ftpd： PassivePortRange 30000 35000 例如，您可以使用 proftpd 添加端口范围 30000:35000 至 TCP_IN，添加下 述行至/etc/proftpd.conf，然后重启 proftpd：PassivePorts 30000 35000 通过 SSL/TLS 的 FTP 在使用 SPI 防火墙时经常会失败。这是由 FTP 协议在用 户和服务器之间建立连接的方式导致的。在通过 SSL 使用 FTP 时，iptables 不 能建立相关连接是因为 FTP 控制连接已加密，因此不能跟踪该连接和临时端口分 配的关系。 如果您需要通过 SSL 使用 FTP，那么您要在 csf 和 FTP 服务器配置各开放一 个被动端口块。（见上） 在试着使 FTP 连接更加安全的同时，却降低了您的防火墙的安全性。 信使服务 此功能可以在被阻止的连接 IP 地址显示信息，告知用户他已被防火墙阻止。 可用于用户自己被阻止的情况，比如多次登录失败。该服务是在端口运行的两个 守护进程提供的 HTML 或 TEXT 信息。 该服务使用 iptables nat 表格 关于规范使用各类表格的通知入职表格免费下载关于主播时间做一个表格详细英语字母大小写表格下载简历表格模板下载 和相关的 PREROUTING 链。将 ipt_REDIRECT 模块用于重定向进入端口到相关信使服务服务器端口。 该功能还可以为临时和/或永久(csf.deny)IP 地址服务。 获取更多信息请访问：http://www.zzbaike.com/wiki/CSF    本电子书由美国主机侦探(www.idcspy.com)根据官方整理制作 该功能不包括为任何 GLOBAL 或 BLOCK 拒绝列表重定向。 该功能要使用 IO::Socket::INET perl 模块。 该功能不适用于没有加载 ipt_REDIRECT iptables 模块的服务器。通常适用 于 Monolithic 内核服务器。VPS 服务器管理员要咨询 VPS 主机供应商其服务器 是否有 iptables 模块。 如果您对/etc/csf/messenger/里的任何文件作出修改，您必须重启 lfd， 它们都缓存在内存里。 HTML 信使服务器 显示的 HTML 信息是由以下文件提供的：/etc/csf/messenger/index.html 提 供 该 页 面 的 HTML 服 务 器 很 原 始