Я только что установил csf+lfd на свой сервер Rackspace Cloud (ванильный стек LAMP под управлением CentOS 6.7). Я только подправил пару настроек в файле по умолчанию csf.conf: порты, разрешенные в TCP_INи TCP6_IN, а затем установил RESTRICT_SYSLOGна 3. Я также установил TESTINGна 0. Затем я установил csf+lfd как службу:
chkconfig --level 235 csf on
service csf restart
Стимулом для настройки csf+lfd в первую очередь было противодействие атакам на сайт Wordpress на этом сервере. Бот пытался провести брутфорс через файл xmlrpc.php. Первым делом я запретил доступ к этому файлу глобально в Apache через:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
Кажется, это работает хорошо. Я вижу строки в журнале ошибок Apache, например:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
Но есть один бот, пришедший с определенного IP-адреса, который заходит на URL-адрес xmlrpc.php каждую секунду в течение часа или около того. Я надеялся, что csf+lfd заметит и добавит IP-адрес в список запрещенных, но этого не произошло. У меня есть журнал ошибок Apache в разделе расположения файлов журнала файла csf.conf:
HTACCESS_LOG = "/var/log/httpd/error_log"
И в журнале ошибок Apache у меня было около 3600 записей для этого IP, пытающегося попасть на xmlrpc.php в течение часа. Но csf+lfd этого не обнаружил.
Будучи новичком, я уверен, что мне не хватает чего-то простого. Любая помощь будет оценена по достоинству.