CSF/LFD Firewall Ayarları

Kaynak Kullaım Aşımı (İşlem Süresi) – Process Time (PT_USERTIME)
Linux güvenlik duvarı uygulaması “CSF/LFD” belirlenen çalışma süresini “PT_USERTIME” aşan uygulamalar için sistem yöneticilerine E-posta göndermektedir. Bazen güvenilen ve bilinen bir uygulamada güvenlik duvarına takılabilmektedir. Eğer güvendiğiniz bir uygulama için bu bilgilendirme mesajlarının gelmesini istemiyorsanız aşağıdaki yöntemleri deneyebilirsiniz.

Bize mesajla iletilen uyarı E-posta mesaj örneğini inceleyelim:

Code:
Time: Wed May 16 07:01:43 2020 -0900
Account: cptest
Resource: Process Time
Exceeded: 22283 > 1800 (seconds)
Executable: /usr/local/cpanel/3rdparty/perl/526/bin/perl
Command Line: spamd child
PID: 15690 (Parent PID:14162)
Killed: No

Bu uyarıda ilk olarak uyarının oluşturulduğu tarihi ve bu uyarının sebebi olan uygulamanın /usr/local/cpanel/3rdparty/perl/526/bin/perl konumunda olduğunu görebiliyoruz. Ayrıca bu uygulamanın cptest kullanıcısı yetkisinde çalıştığını. Bu  uygulama 1800sn olan çalışma süresini 22283sn çalışarak aşmış ve uygulama kapatılmamış  bu yüzden bu uyarı mesajı bizim belirlediğimiz E-posta adresimize gönderilmiş.

Yöntem 1:
Bu uyarı türü /etc/csf/csf.conf konumunda bulunan CSF ayar dosyasındaki PT_USERTIME seçeneğinin değeri ile çalıştırılır. Bu ayar dosyasındaki ilgili kısmı inceleyin:

# This User Process Tracking option sends an alert if any cPanel user process
# exceeds the time usage set (seconds). To ignore specific processes or users
# use csf.pignore
#
# Set to 0 to disable this feature
PT_USERTIME = “1800”

Ayar dosyasında da yazdığı gibi bu ayarı normal değeri olan 1800 sn yerine 0 ile değiştirirsek bu uyarı metodunu tamamen iptal etmiş oluruz. Fakat bu durumda bu uyarı metodunun avantajlarınıda kaybetmiş olacağız ama bu uyarıların tamamen kesilmesini, iptal edilmesini sağlayacaktır.

PT_USERTIME = “0”

Yöntem 2:
2. PT_USERTIME  ile belirlenen süre sunucumuz için kısa geliyor olabilir süreyi uzatarak uyarıları azaltabiliriz. 1800sn = 30dk olan süreyi 3600sn 1saat şeklinde değiştirebiliriz.
Örneğin şu şekilde:
PT_USERTIME = “3600”

Yöntem 3:
Uyarıya sebep olan uygulama, kullanıcı yada komutu /etc/csf/csf.pignore konumundaki ihmal et ayar dosyasında tanımlayarak uygulama, kullanıcı yada komutun vereceği uyarıları durdurabiliriz. Fakat bu ayarın bir güvenlik açığına sebep olmamasına dikkat etmeliyiz yani uygulama, kullanıcı yada komuta güveniyorsak bunu yapmalıyız.
/etc/csf/csf.pignore Dosyasını açın ve aşağıdaki örnekte olduğu gibi yazılan komutlardan birini ekleyerek kaydedin daha sonra güvenlik duvarını yeniden başlattığınızda işlem tamamlanmış olacak.

/etc/csf/csf.pignore Dosyasına yazılacak örnek kodlar:

Bir uygulama için “exe” :
exe:/usr/local/cpanel/3rdparty/perl/526/bin/perl
Bir komut için “cmd” :
cmd:spamd child
Kullanıcı için “user” :
user:cptest

Değişiklikleri yaptıktan sonra güvenik duvarını yeniden başlatmak için verilmesi gereken komut:
csf -r

CSF Firewall Açık Portlar
Açık portları konfigurasyon dosyasındaki TCP_IN, TCP_OUT, UDP_IN and UDP_OUT yazılı alanlardan değiştirebiliyoruz.
Örneğin 3000 ile 5000 arasındaki portları açmak istiyorsanız “:” işaretini kullanabilirsiniz: 3000:5000.

Örnek Ayarlar:

# Allow incoming TCP ports
TCP_IN = "20,21,29950,25,53,80,110,143,443,465,587,993,995,2030,2031,3000:5000"

# Allow outgoing TCP ports
TCP_OUT = "20,21,29950,25,53,80,110,113,443,2030,2031,3000:5000,993,995"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list 
UDP_OUT = "20,21,53,113,123"

# Allow incoming PING
ICMP_IN = "1"

LFD işlem uyarılarını durdurma:
Örnek Uyarı: Excessive resource usage (Kaynak kullanımı aşıldı)

Executable:   /usr/local/bin/php-cgi
Command Line: /usr/local/bin/php-cgi /home/USERNAME/public_html/index.php
PID:          23323 (Parent PID:22635)
Killed:       No

Basitçe aşağıda bulunan konumdaki izin verilenler (beyaz liste) dosyasına aşağıdaki satırı ekleyebilirsiniz: /etc/csf/csf.pignore

exe:/usr/local/bin/php-cgi

Daha sonra ssh dan lfd hizmetini yeniden başlatın: “service lfd restart”. Böylece php-cgi ile ilgili uyarı maili almayacaksınız.

Geney Ayar Dosyası Konumu: /etc/csf/csf.conf