Was ist CSF (ConfigServer Security and Firewall)? Ein vollständiger technischer Leitfaden

CSF, oder ConfigServer Security & Firewall, ist eine Stateful Packet Inspection (SPI) Firewall, ein Daemon zur Erkennung von Anmeldefehlern und eine Suite zur Sicherheitshärtung für Linux-Server. Es fungiert als funktionsreiches Frontend für iptables (und nftables auf neueren Kerneln) und abstrahiert komplexes Regelmanagement in eine strukturierte Konfigurationsschicht, während es aktive Bedrohungserkennung durch seinen Begleit-Daemon, LFD (Login Failure Daemon), hinzufügt.

Für jeden produktiven Linux-Server — ob mit Shared Hosting, einem VPS oder einer Bare-Metal-Dedicated-Umgebung — bietet CSF mehrschichtige Perimeter-Verteidigung: eingehende/ausgehende Verkehrsfilterung, Echtzeit-Protokollanalyse, Brute-Force-Abwehr, Port-Scan-Erkennung und länderspezifische Zugriffskontrolle, alles verwaltbar über eine CLI oder eine in cPanel, DirectAdmin oder Webmin integrierte Weboberfläche.

Wie CSF intern funktioniert

CSF ersetzt nicht iptables oder nftables — es verwaltet sie. Wenn Sie Regeln in /etc/csf/csf.conf definieren oder IP-Listen bearbeiten, übersetzt CSF diese Direktiven in Netfilter-Regeln auf Kernel-Ebene und wendet sie atomar an.

Die Architektur besteht aus zwei primären Komponenten, die parallel laufen:

• csf — die Firewall-Regel-Engine, die Konfigurationsdateien liest und iptables/ip6tables-Chains befüllt.
• lfd — ein persistenter Daemon, der System-Protokolldateien in Echtzeit verfolgt, Authentifizierungsereignisse anhand konfigurierbarer Schwellenwerte bewertet und csf anweist, IP-Adressen dynamisch zu sperren oder freizugeben.

Beim Start leert CSF bestehende Chains und baut sie auf Basis seiner Konfiguration von Grund auf neu auf. Dieser „Clean-Slate”-Ansatz verhindert die Ansammlung von Regeln und stellt sicher, dass der Firewall-Zustand immer deterministisch und prüfbar ist.

CSF-Betriebsmodi

CSF arbeitet in einer von zwei grundlegenden Verkehrsrichtlinien:

Allow-Modus (Standard für die meisten Deployments): Der gesamte ein- und ausgehende Datenverkehr wird standardmäßig abgelehnt. Nur Ports, die explizit in den Direktiven TCP_IN, TCP_OUT, UDP_IN und UDP_OUT aufgeführt sind, werden zugelassen. Dies ist die empfohlene Produktionsrichtlinie.

Testmodus (TESTING = "1"): CSF lädt Regeln, aber LFD erzwingt keine Sperren. Dies verhindert, dass Sie sich während der Erstkonfiguration aussperren. Deaktivieren Sie den Testmodus immer, bevor Sie live gehen:

# In /etc/csf/csf.conf, set:
TESTING = "0"
# Then restart CSF:
csf -r

Wichtige Funktionen von CSF erklärt

Firewall-Regel-Engine

CSF verwaltet vier primäre Port-Listen in csf.conf:

TCP_IN / UDP_IN — für eingehende Verbindungen geöffnete Ports
TCP_OUT / UDP_OUT — für ausgehende Verbindungen erlaubte Ports

Eine minimale Webserver-Konfiguration könnte wie folgt aussehen:
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"
Über die Port-Verwaltung hinaus unterstützt CSF CIDR-basierte Regeln, mit denen Sie ganze Netzwerkbereiche erlauben oder verweigern können. Regeln werden in einfachen Dateien für eine einfache Versionskontrolle gespeichert:




Datei
Zweck




/etc/csf/csf.allow
Dauerhaft auf der Whitelist stehende IPs oder CIDRs


/etc/csf/csf.deny
Dauerhaft gesperrte IPs oder CIDRs


/etc/csf/csf.ignore
IPs, die LFD niemals automatisch sperren wird


/etc/csf/csf.dyndns
Dynamische DNS-Hostnamen zur automatischen Auflösung und Freigabe




Login Failure Daemon (LFD)
LFD ist die aktive Intelligenzschicht von CSF. Er überwacht Protokolldateien — einschließlich /var/log/secure, /var/log/maillog, /var/log/exim_mainlog und andere — und zählt Authentifizierungsfehler pro Quell-IP innerhalb eines konfigurierbaren Zeitfensters.
Wichtige LFD-Konfigurationsdirektiven:

LF_TRIGGER — Anzahl der Fehler, bevor eine Sperre ausgelöst wird
LF_INTERVAL — das gleitende Zeitfenster (in Sekunden) zum Zählen von Fehlern
LF_DURATION — wie lange eine temporäre Sperre dauert (0 = dauerhaft)
LF_SSH, LF_FTPD, LF_SMTPAUTH, LF_POP3D, LF_IMAPD — dienstspezifische Fehlerschwellenwerte

Ein praktisches Härtungsbeispiel: Setzen Sie LF_SSH = "5" mit LF_INTERVAL = "300", um jede IP zu sperren, die SSH-Authentifizierung 5 Mal innerhalb von 5 Minuten fehlschlägt. Diese einzelne Direktive eliminiert die große Mehrheit automatisierter Credential-Stuffing-Angriffe auf Port 22.
Kritischer Sonderfall: Wenn Ihr Überwachungssystem oder Backup-Agent von einer dynamischen IP aus authentifiziert, wird es schließlich LFD auslösen. Fügen Sie diese Quell-IPs immer zu /etc/csf/csf.ignore hinzu, bevor Sie Schwellenwerte verschärfen.
Einbruchserkennung und Prozessverfolgung
Über die Anmeldeüberwachung hinaus führt LFD mehrere hostbasierte Einbruchserkennungsfunktionen durch:

PT_LOAD — überwacht die CPU-Last und warnt oder sperrt, wenn ein Prozess definierte Schwellenwerte überschreitet; nützlich zur Erkennung von Kryptomining oder unkontrollierten Prozessen auf gemeinsam genutzter Infrastruktur.
PT_USERMEM und PT_USERTIME — benutzerspezifische Speicher- und CPU-Zeitlimits, entscheidend für Shared Web Hosting-Umgebungen, in denen Ressourcenisolierung unerlässlich ist.
LF_DIRWATCH — überwacht angegebene Verzeichnisse auf Dateiänderungen und bietet eine rudimentäre Dateiintegritätsüberwachung.
LF_SCRIPT_ALERT — erkennt Skripte, die übermäßig viele E-Mails senden, ein häufiger Indikator für eine kompromittierte PHP-Anwendung.

Port-Scan-Erkennung
CSF verwendet iptables recent-Modul-Tracking, um Hosts zu identifizieren, die mehrere Ports in schneller Folge abfragen. Die Direktiven PS_INTERVAL, PS_LIMIT und PS_PORTS steuern die Empfindlichkeit. Wenn ein Port-Scan erkannt wird, wird die Quell-IP sofort zur Sperrliste hinzugefügt und eine Warnung versandt.
Eine wissenswerte Besonderheit: Aggressive Port-Scan-Erkennung kann Falschmeldungen von legitimen Netzwerkscannern erzeugen, die von Sicherheitsteams oder Uptime-Überwachungsdiensten verwendet werden. Fügen Sie diese Scanner-IPs proaktiv zu csf.ignore hinzu.
DDoS- und Verbindungsratenbegrenzung
CSF bietet mehrere Mechanismen zur Absorption oder Abwehr volumetrischer Angriffe:

CT_LIMIT — maximale gleichzeitige Verbindungen pro IP. Das Setzen auf 100–300 für Webserver verhindert, dass ein einzelner Host Verbindungsslots monopolisiert.
CT_INTERVAL — wie häufig der Verbindungs-Tracker ausgeführt wird.
SYNFLOOD und SYNFLOOD_RATE — aktiviert iptables SYN-Flood-Schutz mit einem konfigurierbaren Paketratenlimit.
UDPFLOOD — begrenzt UDP-Pakete pro IP und mindert UDP-Amplifikationsangriffe.

Es ist wichtig, den DDoS-Abwehrumfang von CSF zu verstehen: Er ist wirksam gegen Anwendungsschicht- und niedrigvolumige Netzwerkschichtangriffe, die von einer begrenzten Anzahl von Quellen ausgehen. Gegen einen groß angelegten volumetrischen DDoS (Dutzende von Gbps) ist Upstream-Null-Routing oder ein dedizierter DDoS-Scrubbing-Dienst erforderlich. CSF ergänzt, ersetzt aber nicht den Upstream-Netzwerkschutz.
Länderspezifische Zugriffskontrolle (CC_DENY / CC_ALLOW)
CSF integriert sich mit MaxMind GeoIP-Datenbanken zur Durchsetzung geografischer Zugriffsrichtlinien. Die CC_DENY-Direktive akzeptiert ISO 3166-1 Alpha-2-Ländercodes:
CC_DENY = "CN,RU,KP,IR"
Alternativ erstellt CC_ALLOW_FILTER in Kombination mit CC_DENY = "ALL" eine ausschließlich auf Allowlist basierende geografische Richtlinie — nützlich für Dienste, die rechtlich oder betrieblich nur bestimmte Rechtsgebiete bedienen.
Betriebliche Fallstricke: GeoIP-Datenbanken sind nicht perfekt genau. Legitime Benutzer hinter Unternehmens-VPNs oder CDN-Edge-Knoten erscheinen möglicherweise aus einem gesperrten Land zu stammen. Kombinieren Sie Ländersperrung mit IP-Whitelisting für bekannte Partner.
Temporäre Sperren und Entsperrung
CSF unterstützt zeitlich begrenzte Sperren, die für mehrdeutige Fälle dauerhaften Verboten vorzuziehen sind:
# Block an IP for 3600 seconds (1 hour)
csf -td 192.168.1.100 3600 "Suspicious scan activity"

# Remove a temporary block manually
csf -tr 192.168.1.100

# Check if an IP is currently blocked
csf -g 192.168.1.100
E-Mail-Benachrichtigungen und Berichte
CSF versendet E-Mail-Benachrichtigungen für eine Vielzahl von Ereignissen. Die LF_ALERT_TO-Direktive legt die Empfängeradresse fest. Benachrichtigungskategorien umfassen:

Überschreitungen des Schwellenwerts für fehlgeschlagene Anmeldungen
Erfolgreiche Root-Anmeldungen
Port-Scan-Erkennungen
Verletzungen von Prozessressourcenlimits
Änderungen an Firewall-Regeln
Verdächtige Dateiänderungen (wenn LF_DIRWATCH aktiviert ist)

Bei stark frequentierten Servern ist Benachrichtigungsmüdigkeit ein reales betriebliches Risiko. Verwenden Sie LF_EMAIL_ALERT-Schwellenwerte und erwägen Sie, CSF-Benachrichtigungen an ein dediziertes Postfach oder eine SIEM-Integration statt an einen allgemeinen Posteingang weiterzuleiten. Zuverlässige Benachrichtigungszustellung hängt von einem ordnungsgemäß konfigurierten Mail-Stack ab — wenn Sie Ihre eigene Mail-Infrastruktur betreiben, stellt E-Mail-Hosting mit korrekter SPF/DKIM-Ausrichtung sicher, dass CSF-Benachrichtigungen nicht stillschweigend als Spam abgewiesen werden.
Installation von CSF auf einem Linux-Server
CSF ist nicht in Standard-Distributions-Repositories verfügbar. Die Installation ist unkompliziert:
# Download the latest release
cd /usr/src
wget https://download.configserver.com/csf.tgz

# Extract and install
tar -xzf csf.tgz
cd csf
sh install.sh
Überprüfen Sie nach der Installation, ob alle erforderlichen iptables-Module verfügbar sind:
perl /usr/local/csf/bin/csftest.pl
Alle FATAL-Ergebnisse weisen auf fehlende Kernel-Module hin, die behoben werden müssen, bevor CSF korrekt funktioniert. WARN-Ergebnisse sind beratend und in der Regel nicht blockierend.
Die Erstkonfiguration befindet sich in /etc/csf/csf.conf. Der wichtigste erste Schritt ist das Deaktivieren des Testmodus und das Definieren Ihrer erlaubten Ports, bevor der Daemon neu gestartet wird.
CSF-Integration mit Kontrollpanels
CSF wird mit nativen UI-Plugins für die drei dominanten Linux-Hosting-Kontrollpanels geliefert:




Kontrollpanel
Integrationsmethode
UI-Standort




cPanel / WHM
CSF-Plugin für WHM
WHM > Plugins > ConfigServer Security & Firewall


DirectAdmin
CSF-Plugin
Admin-Panel > Extra Features


Webmin
CSF Webmin-Modul
Webmin > Networking > ConfigServer Security & Firewall




Die WHM-Integration ist die funktionsreichste und bietet den vollständigen Konfigurationsdatei-Editor, IP-Suche, temporäres Sperrverwaltung und Log-Viewer innerhalb der WHM-Oberfläche. Für Administratoren, die einen VPS mit cPanel betreiben, ist CSF effektiv die Standard-Firewall-Lösung — es ist auf nahezu jedem cPanel-VPS-Image vorinstalliert oder trivial installierbar.
Für Umgebungen ohne Kontrollpanel ist die CLI vollständig leistungsfähig. Kernbefehle:
csf -s    # Start firewall
csf -f    # Stop (flush) firewall
csf -r    # Restart firewall
csf -l    # List current iptables rules
csf -a 203.0.113.5   # Allow an IP permanently
csf -d 203.0.113.5   # Deny an IP permanently
csf -g 203.0.113.5   # Check block status of an IP
csf -u    # Check for CSF updates
CSF vs. alternative Linux-Firewall-Lösungen
Das Verständnis, wo CSF im breiteren Ökosystem passt, hilft Ihnen, eine fundierte architektonische Entscheidung zu treffen.




Funktion
CSF + LFD
UFW
firewalld
Fail2ban + iptables




Primäre Abstraktionsschicht
iptables / nftables
iptables / nftables
nftables / iptables
iptables / nftables


Aktive Brute-Force-Abwehr
Integriert (LFD)
Keine (erfordert Kombination)
Keine (erfordert Kombination)
Kernfunktion


Kontrollpanel-Integration
Nativ (cPanel, DA, Webmin)
Keine
Keine
Begrenzt


GeoIP / Ländersperrung
Integriert
Keine
Keine
Über Plugin


Port-Scan-Erkennung
Integriert
Keine
Keine
Über Filter


Prozess-/Ressourcenüberwachung
Integriert (PT_*)
Keine
Keine
Keine


Konfigurationskomplexität
Mittel-Hoch
Niedrig
Mittel
Mittel


Geeignet für Shared Hosting
Ja
Nein
Nein
Teilweise


IPv6-Unterstützung
Ja (ip6tables)
Ja
Ja
Ja




Wann CSF gewählt werden sollte: Sie betreiben einen cPanel/DirectAdmin/Webmin-Server, einen VPS oder Dedicated Server in einem Multi-Tenant- oder Hosting-Kontext, oder Sie benötigen ein einzelnes Tool, das Firewall-Verwaltung, Brute-Force-Erkennung und hostbasierte Überwachung konsolidiert, ohne mehrere separate Tools zusammenstellen zu müssen.
Wann Alternativen in Betracht gezogen werden sollten: Sie betreiben eine containerisierte Microservices-Umgebung, in der die Netzwerkrichtlinie auf der Orchestrierungsschicht verwaltet wird (Kubernetes NetworkPolicy, Calico), oder Sie benötigen natives nftables-Management auf einer modernen Distribution ohne Legacy-iptables-Kompatibilitäts-Shims.
Häufige Anwendungsfälle und Deployment-Szenarien
Absicherung eines Web-Hosting-Servers
Auf einem typischen cPanel-Server sollte CSF so konfiguriert werden, dass:

Nur die von aktiven Diensten benötigten Ports geöffnet werden (HTTP, HTTPS, SMTP, IMAP, POP3, FTP, SSH, DNS)
LF_SCRIPT_ALERT aktiviert wird, um kompromittierte PHP-Mailer zu erkennen
CT_LIMIT gesetzt wird, um Verbindungserschöpfung von einer einzelnen Quelle zu verhindern
MODSEC-Integration aktiviert wird, wenn ModSecurity installiert ist, um WAF-Sperren mit Firewall-Level-Drops zu korrelieren

Härtung des SSH-Zugangs
Die Kombination von CSF mit SSH-schlüsselbasierter Authentifizierung und einem nicht standardmäßigen SSH-Port schafft eine robuste Zugriffskontrollrichtlinie:
# Allow only your management IP on the SSH port
# In /etc/csf/csf.allow:
tcp|in|d=2222|s=203.0.113.10  # Replace with your actual management IP and SSH port
Setzen Sie LF_SSH = "3", um jede IP nach drei fehlgeschlagenen Versuchen zu sperren, und fügen Sie Ihre Verwaltungs-IP zu csf.ignore hinzu, um versehentliches Aussperren zu verhindern.
Schutz der E-Mail-Infrastruktur
Mail-Server sind hochwertige Brute-Force-Ziele. Die dienstspezifischen LFD-Schwellenwerte von CSF (LF_SMTPAUTH, LF_POP3D, LF_IMAPD) sollten aggressiv (3–5 Fehler) auf jedem Server gesetzt werden, der authentifiziertes SMTP verarbeitet. Kombinieren Sie dies mit ordnungsgemäß konfigurierten SSL-Zertifikaten auf allen Mail-Ports, um das Abfangen von Anmeldedaten zu verhindern, das den Brute-Force-Schutz wirkungslos machen würde.
GPU- und Hochleistungs-Workloads
Für GPU-Hosting-Umgebungen, die ML-Inferenz-APIs oder Rendering-Dienste betreiben, sind der CT_LIMIT– und SYNFLOOD-Schutz von CSF besonders wertvoll — diese Dienste stellen oft hochwertige API-Endpunkte bereit, die automatisiertes Abfragen anziehen. Beschränken Sie API-Ports auf bekannte Client-CIDRs über csf.allow und verwenden Sie CC_DENY, um Regionen ohne legitime Nutzerbasis zu filtern.
CSF-Konfigurationshärtungs-Checkliste
Bevor Sie ein CSF-Deployment als produktionsbereit betrachten, überprüfen Sie Folgendes:

TESTING = "0" ist gesetzt und CSF wurde neu gestartet
TCP_IN und TCP_OUT enthalten nur Ports, die von aktiven Diensten benötigt werden — entfernen Sie nicht zutreffende Standardwerte
LF_SSH-, LF_FTPD-, LF_SMTPAUTH-Schwellenwerte sind auf 3–5 Fehler gesetzt
Ihre Verwaltungs-IP(s) befinden sich in /etc/csf/csf.ignore und /etc/csf/csf.allow

Entscheidungsmatrix: Ist CSF das richtige Tool für Ihre Umgebung?

FAQ

Was ist der Unterschied zwischen CSF und Fail2ban?

Beide Tools führen Brute-Force-IP-Sperrung durch Analyse von Protokolldateien durch, aber CSF ist eine vollständige Sicherheitssuite, die auch die zugrunde liegenden Firewall-Regeln, Port-Zugang, Verbindungsratenbegrenzung, Prozessüberwachung und GeoIP-Filterung verwaltet. Fail2ban ist ein fokussiertes Einbruchspräventions-Tool, das auf eine externe Firewall (iptables, nftables oder firewalld) zur Durchsetzung angewiesen ist. Auf Hosting-Servern mit Kontrollpanels ist CSF die betrieblich vollständigere Lösung. Auf minimalen Linux-Systemen oder Containern kann Fail2ban in Kombination mit firewalld leichter und geeigneter sein.

Kann CSF IPv6-Datenverkehr sperren?

Ja. CSF verwaltet sowohl iptables (IPv4)- als auch ip6tables (IPv6)-Regelsätze. IPv6-Unterstützung ist standardmäßig aktiviert, wenn der Kernel sie unterstützt. Stellen Sie sicher, dass IPV6 = "1" in csf.conf gesetzt ist und dass Ihre TCP6_IN/TCP6_OUT-Port-Listen konfiguriert sind, da sie standardmäßig die IPv4-Einstellungen spiegeln, aber unabhängig angepasst werden können.

Wie verhindere ich, dass ich mich bei der Konfiguration von CSF versehentlich aussperrt?

Fügen Sie Ihre Verwaltungs-IP sowohl zu /etc/csf/csf.allow als auch zu /etc/csf/csf.ignore hinzu, bevor Sie restriktive Änderungen vornehmen. Behalten Sie TESTING = "1" während der Erstkonfiguration bei — im Testmodus lädt CSF Regeln, aber LFD erzwingt keine Sperren, und Regeln werden nach 5 Minuten automatisch geleert, wenn sie nicht bestätigt werden. Setzen Sie TESTING = "0" erst, wenn Sie die Konnektivität überprüft haben.

Funktioniert CSF auf Servern ohne Kontrollpanel?

Ja, vollständig. CSF wird vollständig über die Befehlszeile installiert und verwaltet. Die Web-UI ist eine optionale Komfortschicht für Kontrollpanel-Umgebungen. Die gesamte Konfiguration erfolgt über einfache Dateien in /etc/csf/ und das csf-CLI-Binary. Viele Administratoren bevorzugen die reine CLI-Verwaltung für Prüfbarkeit und Automatisierung über Konfigurationsverwaltungs-Tools wie Ansible oder Puppet.

Wie oft sollte CSF aktualisiert werden und wie wird es durchgeführt?

CSF sollte immer dann aktualisiert werden, wenn eine neue Version veröffentlicht wird, insbesondere bei sicherheitsrelevanten Änderungen. Prüfen Sie auf Updates mit csf -u, das die installierte Version mit der neuesten Version auf dem ConfigServer-Download-Server vergleicht. Updates können direkt über die WHM-Plugin-UI oder über die CLI angewendet werden. Automatisieren Sie die Prüfung mit einem wöchentlichen Cron-Job, aber wenden Sie Updates manuell nach Überprüfung des Changelogs an — CSF-Updates ändern gelegentlich Standard-Konfigurationswerte, die vor dem Deployment überprüft werden müssen.