Tutorial Lengkap Install dan Konfigurasi CSF (Config Server Security & Firewall) di Ubuntu 25.04

Dalam era serangan siber yang semakin canggih, penting bagi administrator server untuk menggunakan firewall yang kuat dan mudah dikonfigurasi. Salah satu firewall terbaik untuk sistem berbasis Linux adalah CSF (Config Server Security & Firewall). CSF merupakan antarmuka pengelolaan firewall berbasis iptables dengan fitur keamanan tambahan seperti deteksi brute-force, port scanning, pemantauan login, dan lain sebagainya.

Tutorial ini ditujukan untuk pengguna Ubuntu 25.04 dan akan membahas langkah demi langkah mulai dari instalasi, konfigurasi, hingga fitur keamanan lanjutan dari CSF. Durasi membaca artikel ini diperkirakan sekitar 10 menit.

🔍 Apa itu CSF?

CSF atau ConfigServer Security & Firewall adalah firewall berbasis iptables yang dirancang untuk menyederhanakan pengelolaan keamanan jaringan pada server Linux. CSF biasanya digunakan bersama dengan LFD (Login Failure Daemon) untuk memberikan perlindungan tambahan terhadap login brute-force dan penyusupan.

Fitur-fitur CSF:

• Pemblokiran IP otomatis karena kesalahan login
• Deteksi port scanning
• Perlindungan SYN flood
• Notifikasi email untuk berbagai peristiwa keamanan
• Daftar putih dan daftar hitam IP
• Dukungan integrasi dengan cPanel, Webmin, DirectAdmin (meski opsional)

✅ Prasyarat

Sebelum memulai instalasi, pastikan server Anda memenuhi persyaratan berikut:

• Sistem operasi Ubuntu 25.04
• Akses root atau user dengan sudo
• Akses internet aktif
• Paket compiler (gcc, make, dsb)

1️⃣ Langkah 1: Update Sistem

sudo apt update && sudo apt upgrade -y

2️⃣ Langkah 2: Instalasi Dependensi

sudo apt install perl iptables libio-socket-ssl-perl libnet-libidn-perl libgeoip-bin libgeoip1 libwww-perl liblwp-protocol-https-perl unzip -y

3️⃣ Langkah 3: Unduh dan Instal CSF

cd /usr/src
sudo wget https://download.configserver.com/csf.tgz
sudo tar -xzf csf.tgz
cd csf
sudo sh install.sh

4️⃣ Langkah 4: Uji Dukungan Iptables

sudo perl /usr/local/csf/bin/csftest.pl

Jika hasilnya “OK”, maka server Anda mendukung CSF sepenuhnya.

5️⃣ Langkah 5: Konfigurasi Awal CSF

sudo nano /etc/csf/csf.conf

Ubah pengaturan utama berikut:

TESTING

TESTING = "0"

Penjelasan: Secara default, CSF berjalan dalam mode testing. Ubah nilainya menjadi 0 untuk mengaktifkan firewall secara penuh.

RESTRICT_SYSLOG

RESTRICT_SYSLOG = "3"

Penjelasan: Nilai 3 melarang semua user kecuali root untuk membaca file log sistem. Ini penting untuk mencegah akses log oleh akun yang tidak sah.

PORT KONFIGURASI

TCP_IN = "22,80,443"
TCP_OUT = "22,80,443,53"
UDP_IN = "53"
UDP_OUT = "53"

Penjelasan:

• TCP_IN = port yang diizinkan masuk (SSH, HTTP, HTTPS)
• TCP_OUT = port keluar yang diizinkan (termasuk DNS)
• UDP_IN dan UDP_OUT = DNS

Pastikan Anda menyesuaikan port sesuai kebutuhan layanan di server Anda (misalnya FTP, SMTP, dll).

6️⃣ Langkah 6: Aktifkan CSF dan LFD

sudo csf -e
sudo systemctl restart csf lfd

Perintah ini mengaktifkan firewall dan layanan deteksi kegagalan login (Login Failure Daemon).

7️⃣ Langkah 7: Tambahkan IP ke Whitelist (Opsional)

sudo csf -a 123.123.123.123 "My IP"

Gunakan perintah ini untuk menambahkan IP agar tidak diblokir oleh CSF secara tidak sengaja.

8️⃣ Langkah 8: Konfigurasi Auto Block Login Gagal

LF_TRIGGER = "5"
LF_SSHD = "1"
LF_SSHD_PERM = "1"
LF_EMAIL_ALERT = "1"

Penjelasan:

• LF_TRIGGER: Jumlah maksimum kegagalan login sebelum IP diblokir.
• LF_SSHD: Mengaktifkan pemantauan login SSH.
• LF_SSHD_PERM: Blokir permanen untuk IP yang gagal login berulang kali.
• LF_EMAIL_ALERT: Kirim email saat terjadi pelanggaran.

9️⃣ Langkah 9: Konfigurasi Email Notifikasi

LF_ALERT_TO = "youremail@example.com"
LF_ALERT_FROM = "csf@yourhostname"

📧 Instal dan Konfigurasi msmtp untuk Pengiriman Email

sudo apt install msmtp msmtp-mta ca-certificates bsd-mailx -y

Konfigurasi:

sudo nano /etc/msmtprc

Contoh konfigurasi Gmail:

defaults
auth           on
tls            on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile        ~/.msmtp.log

account        gmail
host           smtp.gmail.com
port           587
from           youremail@gmail.com
user           youremail@gmail.com
password       aplikasi-password-atau-token

account default : gmail

Ubah izin:

sudo chmod 600 /etc/msmtprc

Uji kirim email:

echo "Test Email" | mail -s "CSF Email Test" youremail@gmail.com

🔐 Langkah 10: Pengamanan Tambahan

Fitur	Parameter Konfigurasi	Deskripsi
SYN Flood Protection	SYNFLOOD = "1"	Proteksi serangan SYN Flood
File Integrity Watch	LF_DIRWATCH = "300"	Pantau perubahan file penting
Ping Block	ICMP_IN = "0"	Blokir ping (ICMP)

Tips:

• Untuk server publik, menonaktifkan ICMP (ping) dapat mengurangi risiko reconnaissance attack.
• File integrity sangat penting untuk mendeteksi backdoor atau defacement web.

🗳️ Manajemen IP

❌ Blokir IP

sudo csf -d 1.2.3.4 "Spammer"

✅ Whitelist IP

sudo csf -a 1.2.3.4 "Trusted IP"

⚠️ Cek Status IP

sudo csf -g 1.2.3.4

⏲ Blokir Sementara

sudo csf -td 1.2.3.4 3600 "Banned for 1 hour"

🛠️ Restart dan Backup

Restart CSF

sudo csf -r

Backup Konfigurasi

sudo cp /etc/csf/csf.conf /etc/csf/csf.conf.backup

⚡ Troubleshooting Umum

Masalah	Solusi
IP sendiri terblokir	Akses via VNC/konsol VPS, lalu whitelist IP
Email alert tidak terkirim	Periksa konfigurasi SMTP dan /var/log/lfd.log
CSF tidak aktif	Pastikan TESTING=0 dan restart CSF
Konflik firewall lain	Nonaktifkan UFW: sudo ufw disable

📈 Tips Tambahan

• Gunakan robots.txt dan mod_security untuk lapisan keamanan tambahan
• Monitor log dengan tools seperti logwatch atau goaccess
• Gunakan fail2ban hanya jika tidak memakai CSF (hindari bentrokan)
• Selalu perbarui CSF menggunakan script bawaan: csf -u

🚀 Penutup

Dengan konfigurasi CSF yang tepat, server Ubuntu 25.04 Anda akan lebih aman dari serangan brute-force, pemindaian port, dan aktivitas mencurigakan lainnya. CSF sangat fleksibel dan bisa dikustomisasi sesuai kebutuhan. Selalu monitor log dan update pengaturan secara berkala.

Jika Anda mengelola server produksi, pastikan untuk melakukan backup konfigurasi dan memantau aktivitas melalui notifikasi email.