解壓:
tar -xzvf apf-current.tar.gz
進(jìn)入APF目錄:
cd apf-版本
安裝!
./install.sh
安裝完以后,開(kāi)始配置APF:
nano /etc/apf/conf.apf
查找(ctrl + w) USE_DS=”0″ ,將之更改為 USE_DS=”1″ ;查找 USE_AD=”0″ ,將之更改為 USE_AD=”1″ 。
然后開(kāi)始配置最主要的部分:端口。
以下提供 cPanel, Ensim 和 Plesk 的推薦配置。
cPanel
IG_TCP_CPORTS=”20,21,22,25,26,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096″
IG_UDP_CPORTS=”21,53,873″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,26,27,37,43,53,80,110,113,443,465,873,2089″
EG_UDP_CPORTS=”20,21,37,53,873″
Ensim
IG_TCP_CPORTS=”21,22,25,53,80,110,143,443,19638″
IG_UDP_CPORTS=”53″
EGF=”1″
EG_TCP_CPORTS=”21,22,25,53,80,110,443″
EG_UDP_CPORTS=”20,21,53″
Plesk
IG_TCP_CPORTS=”20,21,22,25,53,80,110,143,443,465,993,995,8443″
IG_UDP_CPORTS=”37,53,873″
EGF=”1″
EG_TCP_CPORTS=”20,21,22,25,53,37,43,80,113,443,465,873″
EG_UDP_CPORTS=”53,873″
下面列出常規(guī)的端口,方便大家進(jìn)行配置:
21/tcp ftp
22/tcp ssh
25/tcp smtp
26/tcp 備用smtp端口
80/tcp http
110/tcp pop3
143/tcp imap
443/tcp https
993/tcp imaps
995/tcp pop3s
3306/tcp mysql
5432/tcp postgres
53/udp dns
配置完成后保存退出,并啟動(dòng)APF防火墻:
/usr/local/sbin/apf -s
請(qǐng)注意,此時(shí)防火墻是運(yùn)行在調(diào)試模式,每五分鐘重洗配置。這樣能避免因?yàn)殄e(cuò)誤的配置而使服務(wù)器癱瘓。
確保配置無(wú)誤后,再次進(jìn)入配置文件(nano /etc/apf/conf.apf),將 DEVM=”1″ 更改為 DEVM=”0″ 。這樣APF就會(huì)運(yùn)行在常規(guī)模式下。
重啟APF(/usr/local/sbin/apf -s)。
注意事項(xiàng):如果你的Linux內(nèi)核將iptables直接編譯而非模塊模式的話,請(qǐng)將配置文件中的 MONOKERN=”0″ 更改為 MONOKERN=”1″ 。
可選配置:
APF有個(gè)新的功能便是防止DoS攻擊(/etc/apf/ad)。其日志文件保存在/var/log/apfados_log。
下面我們將配置APF使其遇到DoS后發(fā)送電子郵件給管理員。
打開(kāi)配置文件:
nano -w /etc/apf/ad/conf.antidos
查找 [E-Mail Alerts] 。
CONAME=”Your Company” 為你的網(wǎng)站或公司名稱。
將 USR_ALERT=”0″ 更改為 USR_ALERT=”0″ ,從而使系統(tǒng)發(fā)送電子郵件。
USR=”” 為你的電子郵件地址。
保存并退出,重啟APF(/usr/local/sbin/apf -r)。
另外,如果需要讓系統(tǒng)每次重新啟動(dòng)后自動(dòng)運(yùn)行APF,則執(zhí)行以下命令:
chkconfig --level 2345 apf on
需要去除自動(dòng)啟動(dòng)的話:
chkconfig --del apf
最后,希望大家都能順利的為自己的Linux架設(shè)起一道有效的安全屏障。 |
|
收藏
