Вопрос или проблема
Я только что получил новый выделенный VPS от GoDaddy, и я пытаюсь его обезопасить. Он на Centos 7.7, и WHM не имеет установленного FW, насколько я вижу. На старом VPS configServ security and firewall
был установлен заранее (но не активирован) на Centos 6.8 WHM. Однажды я пытался его запустить, столкнулся с проблемами и отказался от этого, больше не возвращаясь к данной теме.
Но теперь мне нужно запустить FW. Оба firewalld и csf – это просто фронтэнды для использования iptables? Или это совсем разные вещи? Какой проще в использовании, какой имеет лучший графический интерфейс?… защита одинаковая? Существует ли вообще графический интерфейс для firewalld – если да, то как к нему получить доступ, так как я не могу ничего найти? Похоже, у меня установлены как firewalld, так и iptables (iptables всегда устанавливаются?):
~]$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
Для iptables я получаю следующее:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere multiport dports smtp,urd,submission owner GID match mailman
ACCEPT tcp -- anywhere anywhere multiport dports smtp,urd,submission owner GID match mail
ACCEPT tcp -- anywhere localhost multiport dports smtp,urd,submission owner UID match cpanel
ACCEPT tcp -- anywhere anywhere multiport dports smtp,urd,submission owner UID match root
# systemctl status iptables
Unit iptables.service could not be found.
Так что… iptables на самом деле работает… или нет? Пожалуйста, помогите мне во всем этом разобраться.
Firewalld и iptables – это две разные вещи, обе позволяют достичь одной цели, так как в основном они делают одно и то же: проверяют, какой пакет может пройти, а какой должен быть заблокирован.
Упрощая концепции, можно рассматривать firewalld как дамбу в горах, а iptables – как барьер вниз по течению. Firewalld работает как служба, поэтому когда она запущена, вы должны увидеть следующее:
# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor p>
Active: active (running) since Thu 2020-05-07 00:41:29 CEST; 1 day 17h ago
В соответствии с вашим выводом, ваш процесс firewalld не активен, и, вероятно, ваш провайдер отключил его, так как хочет, чтобы вы настроили его самостоятельно. Будьте осторожны, когда попробуете его активировать! Я не знаю, какая настройка у вашего GoDaddy VPS, но, например, если вы подключаетесь по SSH и порт 22 заблокирован, вы можете заблокировать себе доступ и больше ничего не сможете сделать!
С другой стороны, ваш iptables, похоже, уже настроен и активен. iptables работает по-другому, так что не тратьте время на поиск процесса iptables, его нет!
iptables работает как модули ядра, и ядро управляет напрямую отправленными и полученными пакетами; согласно вашему выводу, фильтрация уже активна, и ваш фаервол настроен. Если бы это было не так, вы бы увидели такой вывод:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Похоже, на вашем VPS установлен cPanel, так что вы наверняка сможете найти модуль, который позволит вам легко настроить ваш (ваши) фаервол(ы). К сожалению, я не могу дать совет относительно csf, так как я никогда им не пользовался, но это определенно хороший продукт (и хорошая альтернатива firewalld), так как обладает большой популярностью.
Ответ или решение
Вопрос безопасности сервера VPS на базе CentOS 7.7 является ключевым для гарантии стабильно работающего и защищенного окружения. В рассматриваемой ситуации на новом сервере отсутствует предустановленный брандмауэр, и владельцу предлагается выбор между firewalld и ConfigServer Security & Firewall (CSF). Давайте разберем каждый из вариантов более детально.
Теория
firewalld и iptables — это инструменты управления сетевыми запросами, которые выполняют одну и ту же функцию: фильтрацию пакетов данных для определения, что разрешить, а что заблокировать. firewalld управляет настройками через демон, который обеспечивает динамическое управление и возможностью изменения правил без полной перезагрузки. Это упрощает управление, особенно в условиях, когда необходимо оперативно реагировать на изменения.
iptables, напротив, представляет собой набор таблиц в ядре Linux, которые обрабатывают входящие, исходящие и пробросные пакеты. Он действует на уровне ядра без необходимости в работающем процессе.
CSF — это надстройка для iptables, которая предоставляет удобный интерфейс для управления правилами и предлагает дополнительные функции, такие как обнаружение вторжений и расширенные опции логирования.
Пример
Ваш сервер на CentOS 7.7 обладает предустановленными firewalld и iptables. Вы отметили, что firewalld в настоящее время не активен. Его запуск можно проверить командой systemctl status firewalld
, которая вернет статус активного процесса лишь после его включения.
iptables запускается непосредственно в ядре, и проверка командой iptables -L
отображает активные правила, что свидетельствует о его работе. Если бы он был неактивен, вывод выглядел бы иначе.
CSF, в свою очередь, не был установлен заранее, но, вероятно, доступен для установки через WHM на вашем cPanel. Он предлагает более развитую функциональность и управление на базе iptables, а значит, может быть более предпочтительным, если вам нужны дополнительные инструменты и функции безопасности.
Применение
Для начала, определитесь с вашими приоритетами: если нужны быстрое и динамическое управление правилами без перезагрузки системы, firewalld — ваш выбор. Стоит обратить внимание на возможность управления firewalld через графический интерфейс, который может быть доступен в некоторых инструментах управления.
Если вы предпочитаете обширный функционал и простоту в управлении через WHM, CSF представляется хорошим выбором. На практике это может означать больше усилий в установке и начальной настройке, однако долгосрочные преимущества в безопасности могут это оправдать.
Независимо от выбора, убедитесь, что перед любыми изменениями в конфигурации у вас есть доступ к портам аварийного доступа, чтобы не потерять доступ к серверу, например, через SSH.