Aquest tutorial us mostrarà com protegir el vostre servidor FreeBSD mitjançant el tallafoc OpenBSD PF. Assumirem que teniu una instal·lació neta de FreeBSD desplegada per Vultr sense cap usuari afegit. Farem algunes altres coses a més de la configuració del tallafocs que també enduriran la seguretat del nostre servidor FreeBSD. Abans de la configuració del tallafoc, instal·larem alguns paquets ja que la instal·lació per defecte de FreeBSD inclou un conjunt mínim d'eines i paquets (que és correcte), per facilitar-nos el treball.
El shell predeterminat a FreeBSD és /bin/sh. Aquest és un shell bàsic sense funcions d'autocompletar. Farem servir alguna cosa millor. Instal·larem zsh.
Primer, instal·leu aquests paquets:
# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...
GNULS és el lsprograma de Linux. Només volem tenir la mateixa lscomanda a Linux i FreeBSD.
Afegiu un usuari normal al sistema: (substituïu john pel vostre nom d'usuari i no us oblideu d'afegir usuari al grup de rodes)
# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default):
Login group [john]:
Login group is john. Invite john into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : john
Password : *****
Full Name : John Doe
Uid : 1001
Class :
Groups : john wheel
Home : /home/john
Home Mode :
Shell : /usr/local/bin/zsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!
Creeu un fitxer de configuració zsh:
# ee /home/your-username/.zshrc
Copieu això al vostre fitxer .zshrc:
PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "
bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'
export EDITOR=ee
autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit
# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory
Executeu aquesta ordre: (substituïu john pel vostre nom d'usuari)
chown john:john /home/john/.zshrc
Ara, inicieu sessió al servidor FreeBSD amb el vostre nom d'usuari i canvieu la contrasenya d'arrel predeterminada:
<vultr>[~]$ su
Password:
<vultr>[~]# passwd
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]#
No necessitem sendmail. Atureu i desactiveu aquest servei:
<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.
A continuació, canviarem el nostre fitxer rc.conf perquè sembli més natural:
# ee /etc/rc.conf
Canvieu-lo perquè sembli així:
#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"
#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"
#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"
#pflog_logfile="/var/log/pflog"
#pflog_flags=""
sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
Edita /etc/hostsfitxer:
# ee /etc/hosts
Afegiu la vostra adreça IP i el vostre nom d'amfitrió:
::1 localhost localhost.ceph ceph
127.0.0.1 localhost localhost.ceph ceph
108.61.178.110 ceph.domain1.com ceph
Estableix la zona horària:
# bsdconfig
Sempre que pugueu, desactiveu l'accés remot per a l'usuari root. La majoria dels atacs a SSH intentaran accedir a través del compte d'usuari root. Connecteu-vos sempre amb el vostre nom d'usuari i després sua root. Només els usuaris del wheelgrup poden sufer root. És per això que hem afegit el nostre usuari al grup de rodes.
Desactiva l'inici de sessió root:
# ee /etc/ssh/sshd_config
Descomenteu aquesta línia:
PermitRootLogin no
Reinicieu:
# reboot
Un cop finalitzi el reinici, veureu un missatge com aquest a la consola Vultr:
time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.
Per això hem de corregir el rellotge manualment. Seguiu aquestes ordres, primer super arrelar:
$ su
Password:
# ntpdate 0.europe.pool.ntp.org
Ara, anem a configurar el tallafoc. OpenBSD PF s'inclou al nucli de FreeBSD, de manera que no cal que instal·leu cap paquet.
Amb l' eeeditor, creeu un fitxer /etc/firewall:
# ee /etc/firewall
Inseriu això: (substituïu qualsevol adreça IP per la vostra)
#######################################################################
me="vtnet0"
table <bruteforcers> persist
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
# ---- Second rule "Block all in and pass all out"
block in log all
pass out all keep state
############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state
# ---- block SMTP out
block quick proto tcp from $me to any port 25
# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state
# ---- Allow my team member SSH access
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state
# ---- Block bruteforcers
block log quick from <bruteforcers>
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
# ---- Allow ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
Crea un /etc/trustedfitxer. En aquest fitxer, posarem les IP en les quals "confiem".
# ee /etc/trusted
Afegiu algunes IP:
# Hosting
1.2.0.0/16
# My friends
1.2.4.0/24
Ara una mica d'explicació. Els ports no desitjats i les IP no desitjades són només alguns ports/IP que no volem veure als registres. Ho hem fet amb aquesta regla:
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
Aquests són només els valors predeterminats i no us haureu de preocupar:
icmp_types = "echoreq"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all
pass out all keep state
Aquesta regla bloqueja el trànsit SMTP sortint del vostre servidor (que és el predeterminat a Vultr).
# ---- block SMTP out
block quick proto tcp from $me to any port 25
Excepte que bruteforcersla resta és bastant senzill.
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
Bruteforcers només diu: Permet des d'IPs <de confiança> al port 22, però només es poden fer 10 connexions simultànies des d'una IP d'origen. Si és més de 10, bloquegeu aquesta IP i poseu-la a la taula bruteforcers. El mateix passa amb la regla 20/60. Significa un màxim de 20 connexions en 60 segons.
Activa el tallafoc:
# ee /etc/rc.conf
Descomenteu aquestes línies:
pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
Reinicieu:
# reboot
Si ho heu fet tot bé, podreu iniciar sessió i el tallafoc s'habilitarà. No cal que reinicieu cada vegada que canvieu el /etc/firewallfitxer. Només fes:
# /etc/rc.d/pf reload
Vegeu qui està provant de connectar-se al vostre servidor en temps real:
# tcpdump -n -e -ttt -i pflog0
Mostra l'historial:
# tcpdump -n -e -ttt -r /var/log/pflog
Mireu si teniu algú a la taula de bruteforcers:
# pfctl -t bruteforcers -T show
I ja està. Heu implementat correctament el tallafoc PF al servidor FreeBSD!
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
