Trong hơn một thập kỷ, CSF (ConfigServer Security & Firewall) là cái tên quen thuộc với hầu hết quản trị viên hệ thống máy chủ web cPanel/WHM. Bản thân tôi cũng đã có thời gian gắn bó ít nhất cũng 10 năm với nó. CSF luôn luôn là một trong những plugin tôi cài đầu tiên khi setup server WHM mới.

Tuy nhiên, từ ngày 31/08/2025, dự án CSF chính thức ngừng cập nhật (EOL). Điều này đánh dấu sự kết thúc của một công cụ huyền thoại — và cũng là tín hiệu để cộng đồng sysadmin chuẩn bị chuyển sang một thế hệ firewall mới.

Mục lục hide
CSF là gì?
Tại sao CSF ngừng cập nhật từ ngày 31/08/2025?
Vì sao hiện tại CSF vẫn chạy được
Những giải pháp thay thế CSF
Kết bài

CSF là gì?

ConfigServer Security & Firewall (CSF) là một bộ công cụ firewall GUI miễn phí dành cho máy chủ web WHM, được phát triển bởi ConfigServer Services Ltd (UK).
CSF không chỉ là lớp tường lửa dựa trên iptables, mà còn là một bộ bảo vệ toàn diện cho server:

  • Tích hợp GUI trực tiếp trong WHM/cPanel
  • Quản lý whitelist / blacklist IP
  • Tự động chặn các hành vi đăng nhập sai nhiều lần (login failure detection)
  • Temp ban / unban IP
  • Cấu hình bảo mật SSH, SMTP, cPanel, FTP
  • Hỗ trợ thông báo qua email khi phát hiện tấn công

Nhờ giao diện dễ dùng và khả năng tích hợp hoàn hảo với cPanel, CSF từng được xem là “chuẩn vàng” cho việc hardening server shared hosting suốt hơn 10 năm.

Tại sao CSF ngừng cập nhật từ ngày 31/08/2025?

Theo thông báo chính thức từ ConfigServer, CSF sẽ ngừng phát triển và không còn nhận bản vá bảo mật sau 31/08/2025 với những lý do sau:

1. iptables lỗi thời

  • Từ RHEL 8 trở đi, hệ thống firewall mặc định của Linux đã chuyển sang nftables.
  • CSF viết hoàn toàn dựa trên iptables, không tương thích với nftables.
  • Việc rewrite lại toàn bộ CSF cho nftables là khối lượng công việc khổng lồ.

2. Thị trường thay đổi

  • Người dùng cPanel hiện nay chuyển sang Imunify360, một giải pháp thương mại toàn diện hơn (firewall, WAF, malware scan).
  • Điều này khiến CSF không còn là lựa chọn “bắt buộc” nữa.

3. Nhóm phát triển nhỏ

  • CSF chủ yếu do một cá nhân (Jonathan D.) duy trì trong nhiều năm.
  • Họ vẫn còn sản phẩm thương mại khác như CXS (ConfigServer Exploit Scanner)MailScanner FE, nên tập trung nguồn lực sang mảng có doanh thu.

Lý do thiếu nhân lực chỉ là phụ, lý do chính đến từ sự thay đổi sâu trong hệ sinh thái Linux. Nói cách khác, CSF kết thúc một cách tự nhiên — giống như iptables, nó đã hoàn thành sứ mệnh của mình.

Vì sao hiện tại CSF vẫn chạy được

Nếu bạn đang dùng AlmaLinux 9, Rocky 9 hoặc RHEL 9, bạn sẽ nhận thấy CSF vẫn hoạt động bình thường. Chỉ khác là cài từ github thay vì official link như ngày xưa.
Lý do là hệ thống vẫn giữ lớp tương thích gọi là iptables-nft — một “phiên dịch viên” giúp lệnh iptables cũ được dịch sang ngôn ngữ nftables.

Ví dụ: khi CSF chạy lệnhiptables -A INPUT -p tcp --dport 80 -j ACCEPT
kernel thật ra chuyển thành rule nftables tương đương ở backend. Nghe thì có vẻ ổn nhưng tiềm ẩn rất nhiều rủi ro:

  • Rule của CSFfirewalld có thể ghi đè lẫn nhau.
  • Khi hệ thống reload, các rule iptables có thể biến mất.
  • CSF không hiểu cấu trúc zone/policy mới của nftables.
  • RHEL 10 dự kiến loại bỏ hoàn toàn lớp iptables-nft, khiến CSF ngừng hoạt động vĩnh viễn.

Đó là lý do tại sao tôi gọi CSF trên AlmaLinux 9 là “một quả bom nổ chậm” — hiện tại thì chạy được, nhưng không biết trong bản cập nhật sắp tới nào nó sẽ ngưng hoạt động.

Những giải pháp thay thế CSF

Hiện tại tôi thấy nhiều nhóm (nhỏ lẻ) fork CSF về và tiếp tục cập nhật, tôi thấy đây là hành động vô nghĩa vì viết lại rule từ iptables sang nftables là một khối lượng công việc lớn mà cá nhân hoặc nhóm nhỏ không thể hoàn thành. Còn iptables-nft thì đang bị coi là lỗi thời và sắp bị loại bỏ. Theo kinh nghiệm cá nhân:

  • Server/VPS nhỏ: dùng firewalld + fail2ban là đủ.
  • Doanh nghiệp / shared hosting (nhiều website): chuyển sang Imunify360 để có GUI và auto update rule.

Tôi cũng mong có một nhóm nào đó viết lại CSF từ đầu dùng rule của nftables, tuy nhiên cần các bước phát triển rõ ràng, unit test, integration test… thì mới có tiềm năng trở thành CSF thế hệ tiếp theo được.

Kết bài

CSF đã hoàn thành sứ mệnh của mình và việc tiếp tục dựa vào CSF là technical debt mà bạn (và cả tôi) sớm muộn phải trả.

Nếu bạn vẫn đang dùng CSF trên AlmaLinux 9, hãy bắt đầu kế hoạch migration ngay bây giờ. Một firewall mới — đơn giản, ổn định và tương thích lâu dài — sẽ giúp hệ thống của bạn an toàn và sẵn sàng cho thế hệ RHEL 10 sắp tới.