Pada tulisan kami sebelumnya, kami telah membahas tentang cara install dan konfigurasi dasar CSF (ConfigServer Security & Firewall) . Melanjutkan panduan tersebut, kami akan membahas beberapa cara konfigurasi CSF di VPS cPanel lebih advance.
Ada beberapa tips yang akan kami bahas pada artikel kali ini, seperti cara cek lokasi file konfigurasi csf, melakukan block pada port hingga melakukan whitelist pada proses CSF. Berikut informasi selengkap tentang konfigurasi CSF di VPS cPanel.
Lokasi File Konfigurasi CSF
Untuk kali ini seting akan lebih banyak dilakukan menggunakan command line. Kami juga akan fokus pada seting yang berkaitan dengan IPv4. Sebagai informasi, untuk konfigurasi CSF, diletakkan pada folder /etc/csf/. File konfigurasi utama, berada pada file csf.conf.
Melakukan Pemblokiran Port
Seting buka/tutup port diatur pada file csf.conf. Buka file /etc/csf/csf.conf menggunakan teks editor yang sering anda gunakan. Seting buka/tutup port ada pada bagian “SECTION:IPv4 Port Settings”.
Seting buka/tutup port dapat diseting baik menggunakan opsi TCP/UDP, dan dapat dipisahkan baik untuk port koneksi masuk maupun koneksi keluar.
- TCP_IN= berfungsi untuk mengatur akses port masuk TCP.
- TCP_OUT= berfungsi untuk mengatur akses port keluar TCP.
- UDP_IN= berfungsi untuk mengatur akses port masuk UDP.
- UDP_OUT= berfungsi untuk mengatur akses port keluar UDP.
Pada bagian TCP_IN dan TCP_OUT, pastikan port-port yang digunakan oleh cPanel untuk menjalankan servicenya dibuka. Pastikan juga passive port yang digunakan untuk akses FTP juga dibuka.
Akses Port Tertentu dari IP Tertentu
Untuk port yang diblokir untuk umum, kita juga dapat membuka port yang tertutup tersebut, agar dapat diakses dari koneksi-koneksi tertentu. Opsinya bisa menggunakan IP dan/atau menggunakan dynamic DNS (DDNS).
Menggunakan IP Publik
Hal pertama yang perlu dipastikan adalah, IP yang akan dimasukkan adalah IP publik yang bersifat statis. Jika koneksi yang digunakan adalah menggunakan IP publik dinamis, bisa menggunakan opsi DDNS. Lokasi file seting berada di csf.allow.
Buka file /etc/csf/csf.allow menggunakan editor favorit. Jika sebelumnya sudah pernah melakukan whitelist IP mengikuti panduan sebelumnya, maka IP yang dimasukkan juga akan muncul di file ini.
Adapun format yang digunakan adalah sebagai berikut:
tcp/udp|in/out|s/d=port|s/d=i
s= source
d= destination
Sebagai contoh, akan menseting IP 103.247.8.1 agar dapat mengakses TCP port 3306 , yang akan digunakan untuk melakukan remote database, maka seting yang digunakan adalah sebagai berikut:
tcp|in|d=3306|s=103.247.8.1 #kantorpusat
tcp|out|d=3306|s=103.247.8.1 #kantorpusat
Pastikan membuat baik untuk in dan out untuk seting ini. Setelah menyimpan, restart csf menggunakan perintah:
csf -r
Menggunakan IP Dinamis
Tentu saja, seting dapat dilakukan setelah mendapatkan DDNS. Seting dilakukan pada file csf.dyndns. Buka file /etc/csf/csf.dyndns. Pada contoh kali ini akan menseting agar DDNS “buronanmertua.noip.com” dapat melakukan remote database, sehingga harus diseting dapat mengakses port 3306.
Format setingnya mirip dengan seting menggunakan IP statis, namun pada bagian source diganti dengan DDNS-nya:
tcp|in|d=3306|s=buronanmertua.noip.com #kantorayang
tcp|out|d=3306|s=buronanmertua.noip.com #kantorayang
Setelah menyimpan, jangan lupa melakukan restart csf dengan perintah :
csf -r
Menambahkan Blokir Otomatis
Beberapa layanan blocklist, mengeluarkan list blokir yang dapat kita gunakan. Kita dapat menambahkannya secara otomatis dengan mengaktifkan opsinya pada file csf.blocklists. Buka file /etc/csf/csf.blocklists.
Berikut format blocklist yang digunakan: NAME|INTERVAL|MAX|URL
- NAME : Nama blocklist, nama bebas sepanjang tidak melebihi 25 karakter. Tanpa spasi dan sebaiknya huruf kapital semua.
- INTERVAL: Interval untuk mengunduh ulang list. Minimal 3600 detik (satu jam). Namun pada prakternya, seting 86400 sudah lebih dari cukup.
- MAX : Jumlah maksimal IP address yang digunakan pada list. Angka “0” menandakan semua IP yang berada pada list akan ditambahkan.
- URL : URL darimana list didapatkan
Contoh kita akan menggunakan list blokir dari URL http://www.spamhaus.org/drop/drop.txt. Maka seting yang dapat digunakan:
SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.txt
Jangan lupa restart CSF setelah menyimpan.
Whitelist Proses/User
Kita juga dapat melakukan whitelist untuk sebuah proses/user. Setingnya dilakukan pada file csf.pignore. Buka file /etc/csf/csf.pignore.
Whitelist ini bermaksud agar lfd tidak melakukan tracking proses yang dimasukkan ke list whitelist, sehingga nantinya tidak di-kill jika prosesnya berjalan melebihi waktu yang sudah diseting pada file csf.conf. Tepatnya pada bagian “SECTION:Process Tracking”
Berikut format yang digunakan:
exe:/full/path/to/file
user:username
cmd:command line
Contoh kita akan melakukan whitelist untuk proses user cPanel “anunia”. Maka formatnya sebagai berikut:
user:anunia
Selalu restart CSF setelah menyimpan dengan perintah: csf -r
Demikian tips konfigurasi CSF pada VPS cPanel dari Rumahweb Indonesia. Semoga bermanfaat.