����ɖK������������������������d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�m Z m
Z
m�Z���d�d�l�m
Z
��d�d�l�m�Z�m�Z�m�Z�m�Z�m�Z�m�Z���d�d�l�m�Z���d�d�l�m�Z�m�Z�m�Z�m�Z�m�Z���d Z�e�j������������������������������e�d
������������Z e�j������������������������������e�d�������������Z!e�j������������������������������e�d�������������Z"e�j������������������������������e�d
������������Z#d�Z$d�Z%d�Z&d�Z'd�Z(d�Z)e"g�e#e!g�d��Z*��e�j+��������e,������������Z-d�e.d�e/f�d��Z0��G�d��d�e
������������Z1d��Z2d�d��d��Z3d�d��d��Z4d��Z5d��Z6d e.f�d!�Z7d"e�e
e�f�����������f�d#�Z8d"e�e
e�f�����������f�d$�Z9d"e�e
e�f�����������f�d%�Z:d&�Z;d'�Z<��e�e�d(e<)������������d*�������������Z=d+�Z>d,�Z?d-�Z@d.�ZAd/�ZBd0�ZCd5d1�ZDd2�ZEd3�ZFd4�ZGd�S�)6����N)��suppress)��Union)�
ip_network�IPv4Network�IPv6Network)��KWConfig)� check_run
CheckRunError�retry_on�run�run_coro�FileLock)��IP)��listening_ports�TCP�UDP�IN�OUTz�/etc/csfz�csf.confz
csf.ignorez�csf.denyz csf.allowz�/usr/local/csf/bin/csfpost.shz�/etc/csf/csfpost.shz�/var/lib/csf/csf.lock����sq���/opt/imunify360/venv/bin/python3 /opt/imunify360/venv/share/imunify360/scripts/rules_checker.py ipsets-consistents\���/opt/imunify360/venv/bin/python3 /opt/imunify360/venv/share/imunify360/scripts/ipset_sync.py)��BLACK�WHITE�do_lock�lock_timeoutc�����������������������������f�d��}�|�S�)�Nc��������������������L������t�����������j�������������������������f�d��������������}�|�S�)�z
Decorator to disable concurrent rule editing with CSF
Method is executed with holding lock file used by CSF
to prevent it's start or restart
while imunify360 is editing iptables rules
:return:
c������������������������K�����rtt�����������j������������������������������t�����������������������rPt ����������t�������������������������4��d�{�V��������|�i�|����d�{�V���c�d�d�d��������������d�{�V�����S�#�1��d�{�V���s�w�x�Y�w���Y�����d�S����|�i�|����d�{�V���S�)�N)��path�timeout)��osr�����isfile
CSF_LOCK_PATHr����)��args�kwargsr�����funcr����s���� E/opt/imunify360/venv/lib/python3.11/site-packages/im360/subsys/csf.py�wrapperz,csf_coop..decorator..wrapper=���sB����������
327>>-�8�8��
3�#���M�M�M���7���7���7���7���7���7���7���7!%�t!6v!6!6�6�6�6�6�6�6���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���7���"T4�26�2�2�2�2�2�2�2�2�2s������A'�'
A1�4�A1�)� functools�wraps)�r$���r&���r����r����s����` r%��� decoratorz�csf_coop..decorator4���sE������
��� � ��� 3�� 3�� 3�� 3�� 3�� 3��
� ��� 3����������)�r����r����r)���s����`` r%����csf_coopr,���3���s*����������������������������(�����r*���c�������������������������e�Z�d�Z�d�Z�d�Z�e�Z�d�Z�d�S�)��Configz�^\s*{}\s*=\s*"(.*?)".*$z {} = "{}"FN)��__name__
__module__�__qualname__�SEARCH_PATTERN
WRITE_PATTERN
CSF_CONFIG�DEFAULT_FILENAME�ALLOW_EMPTY_CONFIGr+���r*���r%���r.���r.���K���s&���������/N��M�!����������r*���r.���c������������������������t�����������|�|�������������}�t�����������|����������������������������������������������}�t�����������|�������������S�)�zq
Get set of open ports and ports ranges in csf.conf
:param proto:
:param direction:
:return:
)��_form_conn_namer.����get�_parse_ports)��proto direction�name�datas���� r%��� get_portsr?���R���s8��������5)�,�,D��$<<��������D���������r*���)��rangesc��������������������l����t�����������|�|�������������}�t�����������|�|�������������\���}�}�h�|��}�|����������������������|�������������r�|��|����������������������|�������������r�d�S�|����������������������|���������������|�r�|����������������������|���������������t ����������|�|�������������}�t�����������|����������������������������������|���������������d�S�)�z
Add open ports or port ranges to csf.conf
:param proto:
:param direction:
:param ports:
:param ranges:
:return: True if changes made, False otherwise
:rtype: boolean
NFT)�r8���r?����issubset�update�_pack_portsr.����set) r;���r<���r@����portsr=����p�r�ps�outs ��� r%��� add_portsrK���^���s��������5)�,�,D��UI�&�&DAq �5�B� {{1~~����6>V__Q-?-?>��u��HHRLLL�
����� ���������
�a�
�
�C�
4LL����S��������4r*���c������������������������t�����������|�|�������������}�t�����������|�|�������������\���}�}�h�|��}�|�|�z
��}�|�r�|�|�z
��}�t�����������|�|�������������}�t�����������|����������������������������������|���������������d�S�)�z
Remove open ports or port ranges from csf.conf
:param proto:
:param direction:
:param ports:
:param ranges:
:return:
N)�r8���r?���rD���r.���rE���) r;���r<���r@���rF���r=���rG���rH����ports_to_removerJ���s ��� r%����remove_portsrN���u���sy��������5)�,�,D��UI�&�&DAq���hO� O��A�
�����
�J�
�a�
�
�C�
4LL����S����������r*���c�������������������f���K����d�}�t�����������j������������������������������|�������������s�d�S� �t�����������|�d�g��������������d�{�V���\���}�}�}�n�#�t�����������$�r���Y�d�S�w�x�Y�w�|�d�k�����r�t
�������������������������������d�|�|�|���������������t�����������|���������������o+t�����������j������������������������������t�����������������������o�d�|�v�o�d�|�v�S�)�Nz
/usr/sbin/csfFz�--status����z/CSF unexpected retcode %d. stdout=%r, stderr=%rs����have been disableds/���You have an unresolved error when starting csf:)
r����r����r ���r�����FileNotFoundError�logger�warning�bool�existsr4���)��csf_app�rcrJ����errs���� r%���
is_runningrY������s��������G�
7>>'�"�"������u����� ':!6�7�7�7�7�7�7�7�7��C������������������uu����� Avv�����=r3���
��
��
�
��HH��� J���GNN:�&�&�� J��!��,�� J���
?c�I ���s�����A���
A����A��c��������������������8����t�����������t�����������������������������������S��N)�r
���rY���r+���r*���r%����is_csf_is_running_syncr\������s�������JLL�!�!�!r*����returnc�������������������|���K����t������������������������d�{�V���r%t�����������d����������������������������������������������d�k�����S�d�S�)�zW
Return True if csf running and SMTP_BLOCK is enabled in csf
:return: bool
N
SMTP_BLOCK�1F)�rY���r.���r9���r+���r*���r%����is_SMTP_block_enabledra������sJ������
���\\���������������1��l�#�#�'�'�)�)S�0�0��5r*����ipc�������������������b���K����d�d�t�����������j���������|�������������g�}�t�����������|��������������d�{�V�����d�S�)�z9
Unblock an IP and remove from /etc/csf/csf.deny
�csfz�--denyrmN�r�����ip_net_to_stringr ����rb����cmds���� r%����denyrmri������C����������*b�1"�5�5
6C
�C..������������������r*���c�������������������b���K����d�d�t�����������j���������|�������������g�}�t�����������|��������������d�{�V�����d�S�)�z>
Remove an IP from the temporary IP ban or allow list
rd���z�--temprmNre���rg���s���� r%����temprmrl������rj���r*���c�������������������^���K����t�����������|��������������d�{�V�����t�����������|��������������d�{�V�����d�S�)�z<
Unblock ip blocked either temporary or permanently
N)�ri���rl���)�rb���s���� r%����unblockrn������sJ�����������**��������������
��**������������������r*���c�������������������<���K����g�d��}�t�����������|��������������d�{�V�����d�S�)�N)�rd���z�--lfd�restart)�r ���)�rh���s���� r%����lfd_restartrq������s5������
%
%
%C
�C..������������������r*���c����������������������K����t��������������������������������d�|�|���������������t�����������j���������t������������������������d�{�V�����d�S�)�Nz*Error during csf --restartall, %r retry %s)�rR���rS����asyncio�sleep�CSF_RESTART_THROTTLE_DELAY)��e�is���� r%����async_log_on_errorrx������sF�������
NN�?�A�F�F�F
�-�2
3
3�3�3�3�3�3�3�3�3�3r*�������)� max_tries�on_errorc����������������������K����t�����������t�����������������������5���t�����������j���������d���������������d�d�d���������������n�#�1�s�w�x�Y�w���Y�����t ����������d�d�g��������������d�{�V�����d�S�)�Nz�/etc/csf/csf.errorrd���z�--restartall)�r����rQ���r�����unlinkr ���r+���r*���r%����restart_allr~������s������ ��# $ $���(���(�
�&�'�'�'���(���(���(���(���(���(���(���(���(���(���(���(���(���(���(
�UN�+
,
,�,�,�,�,�,�,�,�,�,s�����8��<��<�c����������������#������K����t�����������|�d�d��������������5�}�|�D�]1}�|����������������������������������}�|�r�|����������������������d�������������s�|�V����2 �d�d�d���������������d�S�#�1�s�w�x�Y�w���Y�����d�S�)�zsYield non-blank, non-comment lines.
Ignore non-utf-8 content.
Leading/trailing whitespace is removed.
z�utf-8�ignore)��encoding�errors�#N)��open�strip
startswith)�r�����file�lines���� r%���
_readlinesr������s��������
�dWX 6 6 6����$���� ��� �D��::<|�d�����������|�d�����������
��������������������d�������������d�z���d���������������������������������������������}�|����������������������|�d�����������|�f����������������P#�t�����������$�rD��t��������������������������������d����������������������|����������������������������������|���������������������������Y��w�x�Y�w��n=#�t ����������$�r0��t��������������������������������d ���������������������|���������������������������Y�n�w�x�Y�w�|�S�)
zs
Load ips and networks from csf allow/deny file
:param path: path to csf allow/deny file
:return:
rP�����maxsplit����r�����IncludeNr���#Cannot parse line {!r} from file {}�Can not open file {})�r����split�len�extend
ips_from_filer���r����r�����is_valid_ipv6_addr�convert_to_ipv6_network�find�append
ValueErrorrR����debug�format�OSErrorrS���)�r�����ipsr����parts�comments���� r%���r���r������s�������
C���<��t�$�$�� 4�� 4D��JJ�J�*�*E��5zzQ5�8y#8#8��
=�q���)9)9�:�:�;�;�;�;��U��q�����4��uQx�(�(�(���,U1X�6�6���H�#%#=eAh#G#G�a����#G��5zzQ3%�(??"'�(5�8==�+=+=�+A+C+C"D"J"J"L"L���JJ�a�'�2�3�3�3�3���"��������������LL�=�D�D� JJLL$�����������������������������������!�� 4,������<���<���<�����-�4�4T�:�:�;�;�;�;�;���<��Js9���B�F7��A�E#�'A|�d�����������|�d��������������������������������d�������������d�z���d���������������������������������������������}
|�
��������������������|�|�|�d�����������|
f����������������#�t�����������$�rD��t��������������������������������d
���������������������|����������������������������������|���������������������������Y��!w�x�Y�w��'n=#�t"����������$�r0��t��������������������������������d����������������������|���������������������������Y�n�w�x�Y�w�|�S�)�zx
Load open ports and ip from csf allow/ignore file
:param path: path to csf allow/ignore file
:return:
rP���r���r���r����r����|�=�in�d�sNr���r���r���)�r���r���r���r����ignore_ports_from_filer����intr���r����r����r���r���r���r���rR���r���r���r���rS���)�r����r���r���r���r;���r<����portrb����port_direction�ip_directionr���s���� r%���r���r�������s�������
C�*�<��t�$�$�' >�' >D��JJ�J�*�*E��5zzQ5�8y#8#8��
�1%�(..2B2B�C�C�D�D�D����
�-1ZZ�__�*�y$�'+zz#�$����4yy������
���
���
������
��� "xx�}}��L"����T�!�!�"c�)�)� C�'�'��XXqX�)�)����>��r!u�%�%�%���,R�U�3�3���B� " :2a5 A A�1����#G��2ww!||�r!u��"$Q%�1�
3��!(;(=(=">"D"D"F"F���JJ�eR�UG�<�=�=�=�=���"��������������LL�=�D�D� JJLL$��������������������������������9' >P�������<���<���<�����-�4�4T�:�:�;�;�;�;�;���<��Js_���B�H;��A�C ���H;�
C����H;���C���A�H;��A�G'�)A>H;�'A
H5�1�H;�4�H5�5�H;�;7I5�4�I5�c��������������������n����g�}�t�����������|�����������D�]$}�|����������������������t�����������|���������������������������%|�S�r[���)��CSF_IMUNIFY_IPLISTS_MAPPINGr���r���)��listnamer���r����s���� r%���
ips_from_listr���>���s=����
�C�+H�5���(���(���
=��&�&�'�'�'�'��Jr*���c������������������������t�����������������������}�t�����������������������}�|�s�|�|�f�S�|����������������������d�������������}�|�D�]}�|�s��|����������������������d�������������}�g�t�����������t�����������|��������������}�t ����������|�������������d�k�����r�|����������������������|�d�������������������������`t ����������|�������������d�k�����r#|����������������������t
����������|���������������������������t�����������d�|��������������|�|�f�S�)�z
Parses opened ports and ranges from line from csf.conf
E.g. 22,80,443,2048:3072 -> ({22, 80, 442}, (2048, 3072))
:param line:
:return:
�,�:rP���r����r���z Cannot parse following piece: %s)�rE���r����mapr���r����add�tupler���)�r���rF���r@����values�value�itemss���� r%���r:���r:���E���s������
�EEE
�UUF��������f}��
�ZZ�__F�����H����H�������� �������C� � ��"#c5//�"���u::�??��IIeAh��������
��ZZ1__��JJuU||�$�$�$�$���?��G�G�G��&=��r*���c������������������������|�t�����������t�����������f�v�s�J��|�t�����������t�����������f�v�s�J��d����������������������|�|����������������������������������������������S�)�z
Forms proper name of csf.conf parameter for connection
E.g. TCP_IN, UDP_OUT
:param proto:
:param direction:
:return:
z�{}_{})�r����r����r����r����r����upper)�r;���r<���s���� r%���r8���r8���b���sN��������S#J�����������S �!�!�!�!��>>%��+�+�1�1�3�3�3r*���c�������������������������t�����������|�������������}�d����������������������t�����������t�����������|�������������������������}�|�rEt�����������|�������������}�d����������������������d��|�D�������������������������}�d����������������������|�|�f�������������S�|�S�)�z
Presents ports and port ranges in format,
accepted in csf.conf
:param ports:
:param ranges:
:return:
r���c��������������������^����g�|�]*}�d����������������������t�����������t�����������|��������������������������+S�)�r���)��joinr����str)��.0�rngs���� r%���
z�_pack_ports..~���s,�����C�C�C�SXXc#smm�4�4�C�C�Cr*���)��sortedr���r���r���)�rF���r@���rI����ports_s�rs�ranges_ss���� r%���rD���rD���q���sw������
����B��hhs3�||�$�$G�
����
�F^^���88�C�C��C�C�C�D�D���xx�(�+�,�,�,���r*���c������������������������|�D�]<}�|�\���}�}�t�����������t�����������|�|�d�z���������������������������}�|����������������������|���������������=|�S�)�z
Merges ports and port ranges in single set
:param ports: set of ports
:param ranges: set of tuples (start_port, end_port)
:return: set of ports included ports from ranges
rP���)�rE����rangerC���)�rF���r@���rH����start�end�ports_from_ranges���� r%����_merge_ports_and_rangesr������sS�����������'���'���
�s��uUC!G�4�4�5�5���
���%�&�&�&�&��Lr*���c��������������������R����t�����������|�t�����������������������\���}�}�t�����������|�|�������������S�)�z\
Read opened incoming ports from csf config
:param proto: tcp/udp
:return:
)�r?���r����r���)�r;���rF���r@���s���� r%����incoming_portsr������s'��������eR�(�(ME6�"5&�1�1�1r*���c��������������������d����|�t�����������t�����������f�v�s�J��t�����������|�������������t�����������|�������������z
��S�)�zg
Difference between listening_ports and incoming_ports
:param proto: tcp/udp
:return:
)�r����r����r����r���)�r;���s���� r%����closed_portsr������s4��������S#J����������5�!�!N5$9$9�9�9r*���r[���)Hrs���r'����logging
contextlibr�����typingr����r���� ipaddressr����r����r�����defence360agent.utils.kwconfigr�����defence360agent.utilsr ���r
���r����r����r
���r�����defence360agent.utils.validater�����im360.utils.netr����r����r����r����r�����CSF_CONFIG_ROOTr����r���r4����CSF_IGNORE_FILE
CSF_DENY_FILE�CSF_ALLOW_FILE�CSF_POST_HOOK_SCRIPT_USR_LOCAL�CSF_POST_HOOK_SCRIPT_ETCr!���ru����IPSET_RESTORE_SCRIPT_LEGACY�IPSET_RESTORE_SCRIPTr��� getLoggerr/���rR���rT���r���r,���r.���r?���rK���rN���rY���r\���ra���ri���rl���rn���rq���rx���r~���r���r���r���r���r:���r8���rD���r���r���r���r+���r*���r%����r�������s�������������������������������������������������� �:�:�:�:�:�:�:�:�:�:�3�3�3�3�3�3�������������������������������������������������������������������.�-�-�-�-�-�>�>�>�>�>�>�>�>�>�>�>�>�>�>���
�W\\/:
6
6
��',,��=�=������_j�9�9
�����o{�;�;�!@���0���'
���������������C���������_��o
.����������
�
�� �8 $ $�����d����#����������������0�������������������X������������� ��� ��� ����04��������������������.�37��������������������&�����������*��"���"���"����T��������������������U;��3�4��������������������U;��3�4��������������������eK��4�5�������������������������������4���4���4
��
�-1/A�B�B�B���-���-���C��B���-�
���
���
���!���!���!��H�3���3���3��l������������������������:��4���4���4����������������&��������������2���2���2���:���:���:���:���:r*���