ConfigServer Security & Firewall (CSF) es un firewall de inspección de paquetes de estado (SPI), detección de inicio de sesión / intrusión y aplicación de seguridad para servidores Linux proporcionado por ConfigServer.
Login Failure Daemon (LFD) es un proceso demonio que se ejecuta en nuestros servidores, que utiliza CSF para la seguridad del servidor.
CSF y LFD vienen preinstalados en nuestros servidores con cPanel y ofrecen muchas funciones útiles para garantizar la seguridad del servidor.
En caso de que aún no esté instalado, puede encontrar información sobre cómo instalar CSF / LFD y cómo trabajar con el complemento CSF.
Uno de los muchos beneficios de CSF y LFD es que le brindan varias notificaciones para ayudarlo a realizar un seguimiento de los eventos importantes que tienen lugar en su servidor. Tenga en cuenta que estas notificaciones solo aparecen si tiene un VPS o un servidor dedicado.
Uno de los muchos beneficios de CSF y LFD es que le brindan varias notificaciones para ayudarlo a realizar un seguimiento de los eventos importantes que tienen lugar en su servidor. Tenga en cuenta que estas notificaciones solo aparecen si tiene un VPS o un servidor dedicado.
1.Alerta de uso excesivo de recursos
Comencemos con un tipo de notificación que probablemente enfrentará a menudo. LFD tiene una función para observar los procesos en ejecución para ver si están usando demasiados recursos. Para algunos de estos recursos, incluso puede configurar cuánto cuenta como demasiado. En algunos casos, si un proceso está utilizando más recursos de lo esperado, esto puede indicar un problema de seguridad. Incluso si no es así, debe investigarse para verificar si algo está mal configurado o no, lo que puede causar problemas de carga en el servidor.
De forma predeterminada, estas notificaciones se ven así:
De: root
A raíz
Asunto: lfd en [nombre de host]: uso excesivo de recursos: [usuario] ([pid])
Tiempo tiempo]
Cuenta: [usuario]
Recurso: [recurso]
Superado: [nivel]
Ejecutable: [exe]
Línea de comando: [cmd]
PID: [pid]
Asesinado: [matar]
root en las líneas From: y To: normalmente se reemplaza por root @ <hostname>
[nombre de host] se reemplaza por el nombre de host del servidor
[usuario] es reemplazado por el usuario bajo el cual se ejecuta el proceso en cuestión
Con esta característica en particular, lo más probable es que encuentre falsos positivos. El propósito de la función es llamar su atención sobre los procesos que se han estado ejecutando durante mucho tiempo bajo una cuenta de usuario, cuáles están consumiendo mucha memoria o los puertos que permanecen abiertos fuera de su servidor.
Aquí hay un ejemplo de alerta de correo electrónico LFD cuando se excede la memoria:
Hora: lun 14 de noviembre 09:41:10 2016 +0530
Cuenta: xxxxxx
Recurso: Tamaño de la memoria virtual
Superado: 205> 200 (MB)
Ejecutable: / usr / bin / php
Línea de comando: / usr / bin / php /home/xxxxxx/public_html/index.php
PID: 26953 (PID principal: 24974)
Asesinado: No
LFD envía esta alerta cuando un proceso utiliza más recursos de memoria que los definidos en el archivo de configuración CSF.
Aquí hay un ejemplo de alerta por correo electrónico LFD cuando se excede el tiempo:
Hora: lun 14 de noviembre 09:41:10 2016 +0530
Cuenta: xxxxxx
Recurso: Tamaño de la memoria virtual
Superado: 125389> 1800 (segundos)
Ejecutable: / usr / bin / php
Línea de comando: / usr / bin / php /home/xxxxxx/public_html/index.php
PID: 28429 (PID principal: 26561)
Asesinado: No
LFD envía esta alerta cuando un proceso tarda más en ejecutarse que el definido en el archivo de configuración CSF.
A veces, es posible que reciba una gran cantidad de correos electrónicos de alerta sobre el uso de recursos y es posible que desee desactivarlos. Asegúrese de verificar que sean falsos positivos antes de ignorarlos o deshabilitarlos.
Para deshabilitar tales notificaciones, vaya a WHM >> sección Complementos >> ConfigServer Security & Firewall.
Allí, busque los parámetros PT_USERMEM y PT_USERTIME y cambie sus valores a 0.
Esto desactivará las notificaciones por completo, ya que estos parámetros definen el umbral después del cual se enviarán las notificaciones. Sin embargo, recomendamos encarecidamente mantenerlos habilitados para que pueda verificar si se espera que ese proceso en particular use tantos recursos asignados.
Es posible que sienta que los valores predeterminados son demasiado bajos y que se inundan de notificaciones sobre procesos válidos, por lo que es posible que desee cambiar PT_USERMEM y PT_USERTIME a los valores que crea que serán los más apropiados.
Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.
En la página siguiente, verá los cambios guardados. Debe reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf + lfd y se guardarán los cambios.
También hay una lista de ignorados en /etc/csf/csf.pignore que se puede usar para incluir en la lista blanca nombres de usuario o rutas completas a binarios. Se debe utilizar el siguiente formato en el archivo:
exe: / completo / ruta / a / archivo
usuario: nombre de usuario
cmd: línea de comando
El archivo se puede editar a través de SSH con el editor de su elección.
Una vez realizados los cambios, debe volver a cargar CSF y reiniciar LFD con el siguiente comando SSH:
csf -r o reinicio del lfd del servicio
2. Alerta de integridad del sistema
LFD tiene una función para verificar cambios en ciertos archivos del sistema. Esto ayuda a detectar archivos comprometidos, pero también le envía una alerta cada vez que estos archivos son cambiados por actualizaciones legítimas del sistema. Si no está seguro de por qué se modifican estos archivos, es importante verificar los registros del servidor para determinar si los cambios son los resultados esperados de actualizaciones u otros cambios intencionales o si hay un archivo comprometido que debe abordarse.
Estas notificaciones solo se envían una vez y, en la mayoría de los casos, se activan mediante una actualización del sistema. En este caso, no se necesita ninguna otra acción por su parte.
De forma predeterminada, estas notificaciones se ven así:
De: root
A raíz
Asunto: lfd en [nombre de host]: la comprobación de integridad del sistema detectó un archivo de sistema modificado
Tiempo tiempo]
La siguiente lista de archivos FALLÓ la prueba de comparación md5sum. Esto significa que el archivo se ha modificado de alguna manera. Esto podría ser el resultado de una actualización del sistema operativo o de una aplicación. Si el cambio es inesperado, debe investigarse.
[texto]
root en las líneas From: y To: generalmente se reemplaza por root @ <hostname>
[nombre de host] se reemplaza por el nombre de host del servidor
[hora] se reemplaza por la hora en que se detectaron los cambios
[texto] se reemplaza por información sobre los cambios detectados
En cuanto a verificar los registros del servidor, puede verificar las actualizaciones recientes del sistema para CentOS usando este comando:
historia de yum
Para obtener información más detallada sobre cada actualización, puede usar la información del historial de yum con el ID de actualización (el ID se encuentra en la salida del historial de yum).
Los archivos de registro de actualización del sistema cPanel se almacenan en / var / cpanel / updatelogs.
Recomendamos mantener este tipo de notificaciones habilitadas para que pueda investigar todos los cambios inesperados lo antes posible. Aún así, si desea deshabilitar estas notificaciones, puede hacerlo de la siguiente manera:
Vaya a WHM >> Complementos >> ConfigServer Security & Firewall.
Luego, proceda a CSF >> Configuración de firewall.
Allí, busque el parámetro LF_INTEGRITY y establezca su valor en 0.
Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.
En la página siguiente, verá los cambios guardados. Debe reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf + lfd y se guardarán los cambios.
3. Alerta de proceso sospechoso
La opción de seguimiento de procesos permite el seguimiento de los procesos del usuario y de nadie y los examina en busca de archivos ejecutables sospechosos o puertos de red abiertos (por ejemplo, si se está ejecutando desde un archivo ejecutable eliminado o tiene conexiones de red abiertas). Su propósito es identificar procesos potencialmente explotadores que se ejecutan en el servidor, incluso si están ofuscados para aparecer como servicios del sistema.
De forma predeterminada, estas notificaciones se ven así:
De: root
A raíz
Asunto: lfd en [nombre de host]: proceso sospechoso que se ejecuta bajo el usuario [usuario]
Tiempo tiempo]
PID: [pid]
Cuenta: [usuario]
Tiempo de actividad: [tiempo de actividad] segundos
Ejecutable:
[exe]
Línea de comando (a menudo falsificada en exploits):
[cmdline]
Conexiones de red por el proceso (si las hay):
[enchufes]
Archivos abiertos por el proceso (si los hay):
[archivos]
Mapas de memoria del proceso (si los hay):
[mapas]
root en las líneas From: y To: normalmente se reemplaza por root @ <hostname>
[nombre de host] se reemplaza por el nombre de host del servidor
[usuario] es reemplazado por el usuario bajo el cual se ejecuta el proceso
[hora] se reemplaza por la hora en la que el proceso se detectó como sospechoso
[pid] se reemplaza por el ID de proceso del proceso
[uptime] se reemplaza por el tiempo que el proceso se ha estado ejecutando
[exe] se reemplaza por el archivo ejecutable desde el que se ejecuta el proceso
[cmdline] se reemplaza por el comando de línea de comando asociado con el proceso
[sockets] ID reemplazado por información sobre cualquier conexión de red que el proceso haya abierto
[archivos] ID reemplazado por una lista de archivos que el proceso ha abierto
[mapas] ID reemplazada por una lista de mapas de memoria que el proceso ha abierto
Le recomendamos que mantenga este tipo de notificaciones habilitadas para que pueda verificar si el proceso es realmente sospechoso o no.
Si aún desea deshabilitar estas notificaciones, puede hacerlo de la siguiente manera:
Vaya a WHM >> sección Complementos >> ConfigServer Security & Firewall.
Luego, proceda a CSF >> Configuración de firewall.
Allí, encontrará el parámetro PT_LIMIT. Establezca su valor en 0.
Una vez que haya hecho esto, desplácese hacia abajo y haga clic en el botón Cambiar.
En la página siguiente, verá los cambios guardados. Debe reiniciar tanto csf como lfd. mensaje. Haga clic en Reiniciar csf + lfd y se guardarán los cambios.
También puede agregar un archivo ejecutable o una ruta de línea de comando al archivo /etc/csf/csf.pignore.
El archivo se puede editar a través de SSH con el editor de su elección.
Una vez realizados los cambios en el archivo, debe volver a cargar CSF y reiniciar LFD con el siguiente comando:
csf -r o reinicio del lfd del servicio