Sådan installeres Tiny Tiny RSS Reader på en FreeBSD 11 FAMP VPS
Bruger du et andet system? Tiny Tiny RSS Reader er en gratis og open source selv-hostet webbaseret nyhedsfeed (RSS/Atom) læser og aggregator, designet til at allo
Forbedring af sikkerheden for FreeBSD ved hjælp af IPFW og SSHGuard
VPS-servere er ofte målrettet af ubudne gæster. En almindelig type angreb dukker op i systemlogfiler som hundredvis af uautoriserede ssh-loginforsøg. Opsætning af en firewall er meget nyttig, men kan i sig selv ikke kontrollere forstyrrende indtrængningsforsøg tilstrækkeligt.
Denne vejledning viser, hvordan man konstruerer en forbedret indtrængningsbarriere for FreeBSD ved hjælp af to programmer, ipfwfirewallen og sshguard. SSHGuard er et lille tilføjelsesprogram, der overvåger systemlogfiler for "misbrugende" poster. Når lovovertrædere forsøger at få adgang, sshguardinstruerer de ipfwat blokere trafik, der stammer fra gerningsmandens IP-adresse. Gerningsmanden bliver så effektivt lukket ude.
Når først det er forstået, hvordan disse programmer fungerer, er det ret simpelt at administrere serverbeskyttelse. Selvom denne guide er fokuseret på at konfigurere FreeBSD, gælder dele af den for andre OS og firewall-software.
Trin 1. Konfiguration af IPFW
FreeBSD leverer 3 firewalls i dens standard ( GENERIC) kerne, ipfw, pf, og ipfilter. Hver har fordele og fans, men ipfwer FBSDs oprindelige firewall-software og ret ligetil at bruge til vores formål. Det er værd at bemærke, at det ipfwgør mange ting, som dets man-side viser, men funktioner såsom NAT, trafikformning osv. er ikke nødvendige for den typiske VPS-situation. Heldigvis opfylder firewallens grundlæggende funktioner nemt vores krav.
For at starte firewallen ved opstart skal du tilføje følgende til /etc/rc.conf:
firewall_enable="YES"
firewall_script="/usr/local/etc/IPFW.rules"
firewall_logging="YES"
Den servicekommando er tilgængelig til at starte / stoppe firewallen manuelt:
[user@vultr ~]$ sudo service ipfw start
ipfwVil naturligvis ikke gøre noget, før den tilføjer regler, ofte fra en fil, i dette eksempel placeret på /usr/local/etc/IPFW.rules. Regelfilen kunne faktisk være placeret hvor som helst eller have et hvilket som helst navn, så længe den matcher parameteren "firewall_script". Regelfilen er beskrevet i detaljer nedenfor.
Trin 2. Installer og konfigurer SSHGuard
sshguardkommer i flere varianter til brug med forskellige firewalls. Brug pkgværktøjet til at hente og installere sshguard-ipfw:
[user@vultr ~]$ sudo pkg install sshguard-ipfw
I de fleste tilfælde er det alt, man behøver at gøre. Den relevante variabel indsættes automatisk /etc/rc.conftil start ved opstart:
sshguard_enable="YES"
Standardindstillingerne fungerer normalt godt. Hvis forskellige værdier er nødvendige, giver sshguardman-siden detaljeret information om parametrene:
# sshguard--program defaults, so don't need to be in rc.conf unless assigning different value
# sshguard_pidfile="/var/run/sshguard.pid"
# sshguard_watch_logs="/var/log/auth.log:/var/log/mail"
# sshguard_blacklist="40:/var/db/sshguard/blacklist.db"
# sshguard_safety_thresh="40"
# sshguard_pardon_min_interval="420"
# sshguard_prescribe_interval="1200"
Du kan starte sshguardmed den sædvanlige serviceopfordring:
[user@vultr ~]$ sudo service sshguard start
Trin 3. Opret et regelscript
Den sværeste del er at skabe firewall-regelsættet. ipfwkan gøre brug af det medfølgende /etc/rc.firewallscript, men det skal modificeres for at imødekomme SSHGuard, såvel som forskellige operationelle scenarier. En række websider og FreeBSD Manual har nyttig information om at gøre dette. Det er dog ikke så svært at skrive en regelfil, desuden kan et tilpasset regelsæt være lettere at forstå og ændre, når det er nødvendigt.
Et vigtigt træk ved ipfwregler er, at den første kamp vinder, hvilket betyder, at regelrækkefølgen er vigtig. I ipfwer hver regel en kommando, og regelfilen er et eksekverbart shell-script. Det gør det muligt at ændre regelsættet ved at ændre reglerne og derefter køre regelfilen som det shell-script det er:
[user@vultr /usr/local/etc]$ sudo ./IPFW.rules
Generelt vil en regelfil definere en variabel for ipfwkommandoen, derefter rydde de nuværende regler, udstede generiske regler og derefter fortsætte med at angive "ud"-regler, efterfulgt af "ind"-regler. ipfw-manualsiden og andre ressourcer indeholder et væld af information om regelstruktur og muligheder, som mildest talt er talrige.
Siden FreeBSD sshguard-versionen er blevet opdateret til version 1.6.2, er metoden til at indsætte blokeringsregler for lovovertrædere ændret. Nu opbevares lovovertrædernes adresser i en ipfw-tabel (tabel 22 for at være specifik), i stedet for at blive indsat i reglerne over 55000 som før.
Heldigvis er det ret nemt at konfigurere regelfilen til at bruge tabellen. Det er bare et spørgsmål om at sætte tabelreglen det rigtige sted, og sørge for at bruge den korrekte syntaks, når man skriver reglen.
Når den sshguardfinder en gerningsmand, sætter den gerningsmandens adresse på sin sortliste og indsætter også adressen i ipfwtabellen, så det "udløser" at nægte adgang. Denne regel vil opfylde disse formål:
01000 deny ip from table\(22\) to any
Det er stadig nødvendigt at sætte regler, der tillader indgående tjenester, over 01000 i dette tilfælde. Lad os f.eks. sige, at adressen 10.20.30.40er en lovovertræder i tabel 22, og vi har denne ipfw-regel:
56420 allow tcp from any to me dst-port 22 in via $vif
Siden ipfwstøder på regel 01000 før regel 56420 , 10.20.30.40er blokeret . Det vil aldrig blive set af "tillad 22 in"-reglen overhovedet. Hvis tillad-reglen havde et "almindeligt" tal som 00420 , ville den dårlige trafik blive lukket ind og aldrig blokeret (fordi 00420 er mindre end 01000 og "første kamp vinder").
En fin funktion ved den opdaterede version er, at nu, når sshguard starter op, bliver alle adresserne på sortlisten tilføjet til tabellen og er tilgængelige for at blokere indkommende lovovertrædere uden forsinkelse. Sortlisten er kumulativ og bevares mellem sessioner.
På dette tidspunkt er det sandsynligvis fornuftigt at vise et komplet ipfwregelsæt, der er ændret til sshguard. Kommentarerne skulle gøre det ret nemt at følge regellogikken:
#!/bin/sh
# ipfw config/rules
# from FBSD Handbook, rc.firewall, et. al.
# Flush all rules before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add "
vif="vtnet0"
# allow all for localhost
$cmd 00010 allow ip from any to any via lo0
# checks stateful rules. If marked as "keep-state" the packet has
# already passed through filters and is "OK" without futher
# rule matching
$cmd 00101 check-state
# allow DNS out
$cmd 00110 allow tcp from me to any dst-port 53 out via $vif setup keep-state
$cmd 00111 allow udp from me to any dst-port 53 out via $vif keep-state
# allow dhclient connection out (port numbers are important)
$cmd 00120 allow udp from me 68 to any dst-port 67 out via $vif keep-state
# allow HTTP HTTPS replies
$cmd 00200 allow tcp from any to any dst-port 80 out via $vif setup keep-state
$cmd 00220 allow tcp from any to any dst-port 443 out via $vif setup keep-state
# allow outbound mail
$cmd 00230 allow tcp from any to any dst-port 25 out via $vif setup keep-state
$cmd 00231 allow tcp from any to any dst-port 465 out via $vif setup keep-state
$cmd 00232 allow tcp from any to any dst-port 587 out via $vif setup keep-state
# allow icmp re: ping, et. al.
# comment this out to disable ping, et.al.
$cmd 00250 allow icmp from any to any out via $vif keep-state
# alllow timeserver out
$cmd 00260 allow tcp from any to any dst-port 37 out via $vif setup keep-state
# allow ntp out
$cmd 00270 allow udp from any to any dst-port 123 out via $vif keep-state
# allow outbound SSH traffic
$cmd 00280 allow tcp from any to any dst-port 22 out via $vif setup keep-state
# otherwise deny outbound packets
# outbound catchall.
$cmd 00299 deny log ip from any to any out via $vif
# inbound rules
# deny inbound traffic to restricted addresses
$cmd 00300 deny ip from 192.168.0.0/16 to any in via $vif
$cmd 00301 deny ip from 172.16.0.0/12 to any in via $vif
$cmd 00302 deny ip from 10.0.0.0/8 to any in via $vif
$cmd 00303 deny ip from 127.0.0.0/8 to any in via $vif
$cmd 00304 deny ip from 0.0.0.0/8 to any in via $vif
$cmd 00305 deny ip from 169.254.0.0/16 to any in via $vif
$cmd 00306 deny ip from 192.0.2.0/24 to any in via $vif
$cmd 00307 deny ip from 204.152.64.0/23 to any in via $vif
$cmd 00308 deny ip from 224.0.0.0/3 to any in via $vif
# deny inbound packets on these ports
# auth 113, netbios (services) 137/138/139, hosts-nameserver 81
$cmd 00315 deny tcp from any to any dst-port 113 in via $vif
$cmd 00320 deny tcp from any to any dst-port 137 in via $vif
$cmd 00321 deny tcp from any to any dst-port 138 in via $vif
$cmd 00322 deny tcp from any to any dst-port 139 in via $vif
$cmd 00323 deny tcp from any to any dst-port 81 in via $vif
# deny partial packets
$cmd 00330 deny ip from any to any frag in via $vif
$cmd 00332 deny tcp from any to any established in via $vif
# allowing icmp re: ping, etc.
$cmd 00310 allow icmp from any to any in via $vif
# allowing inbound mail, dhcp, http, https
$cmd 00350 allow udp from any 53 to me in via $vif
$cmd 00360 allow tcp from any 53 to me in via $vif
$cmd 00370 allow udp from any 67 to me dst-port 68 in via $vif keep-state
$cmd 00400 allow tcp from any to me dst-port 80 in via $vif setup limit src-addr 2
$cmd 00410 allow tcp from any to me dst-port 443 in via $vif setup limit src-addr 2
# SSHguard puts offender addresses in table 22. Set up the table rule
# Please note the '\(22\)' syntax, necessary since it's run as shell command
$cmd 01000 deny ip from table\(22\) to any
# allow inbound ssh, mail. PROTECTED SERVICES: numbered ABOVE sshguard blacklist range
$cmd 56420 allow tcp from any to me dst-port 22 in via $vif setup limit src-addr 2
$cmd 56530 allow tcp from any to any dst-port 25 in via $vif setup keep-state
$cmd 56531 allow tcp from any to any dst-port 465 in via $vif setup keep-state
$cmd 56532 allow tcp from any to any dst-port 587 in via $vif setup keep-state
# deny everything else, and log it
# inbound catchall
$cmd 56599 deny log ip from any to any in via $vif
# ipfw built-in default, don't uncomment
# $cmd 65535 deny ip from any to any
Trin 4. Opstart og test
Systembehov varierer, og forskellige valg af porte, der skal blokeres eller fjernes, afspejles i regelsættet. Når regelsættet er færdigt, skal du gemme filen i /usr/local/etc/IPFW.rulesog starte FBSD-tjenesterne:
# service ipfw start
# service sshguard start
Den udvidede firewall skulle nu køre! Tjek sshguard:
[user@vultr ~]$ sudo pgrep -lfa ssh
Hvis den sshguardkører, vises dens pid og den fulde kommandolinje:
720 /usr/local/sbin/sshguard -b 40:/var/db/sshguard/blacklist.db -l /var/log/auth.log -l /var/log/maillog -a 40 -p 420 -s 1200 -w /usr/local/etc/sshguard.whitelist -i /var/run/sshguard.pid
Dette viser firewall-regelsættet med statistik og sidste gang en pakke matchede reglen:
[user@vultr ~]$ sudo ipfw -cat list
Efter timer eller dage føjes adresser på lovovertrædere til sortlisten og også tabel 22. Brug denne kommando for at se alle adresserne i tabellen:
ipfw table 22 list
Resultatet udskrives som:
10.10.10.118/32 0
10.10.10.72/32 0
...
Som beskrevet ovenfor er forbindelser fra disse adresser ikke tilladt. Selvfølgelig sshguardvil der ikke være nogen adresser på listen ved første gang , men med tiden kan den blive ret lang. En mulighed er at oprette separate blokeringsregler for adresser med flere poster i tabellen og derefter slette dem fra sortlisten.
Trin 5. Vær på vagt...
Det er en god idé af og til at tjekke logs for at sikre, at indtrængen er kontrolleret. Generelt, /var/log/auth.logog /var/log/securityer informative. Huller eller fejl i dækning af netværkstjenester kan blive tydelige. Ændring af firewall-regelsættet efter behov er en normal del af serveradministrationen.
I tidligere sshguard-versioner, når /var/db/sshguard/blacklist.dbfilen var blevet stor, kunne den forhindre sshguardi at starte ved systemstart. Fjernelse eller omdøbning af sortlistefilen får lov sshguardtil at starte. Dette problem ser ud til at være rettet i den seneste sshguard-version, så denne løsning er sandsynligvis ikke længere nødvendig.
Sørg for at hvidliste den IP-adresse, du er forbundet til SSH-sessionen fra. Hvis du ved et uheld låser dig selv ude, kan du altid oprette forbindelse til noVNC-konsollen på https://my.vultr.com og hvidliste din IP.
Sammenfattende, at bruge kombinationen af ipfwog sshguardhjælper med at holde dit FreeBSD-system sikkert og gøre sit arbejde. Minimering af påtrængende netværksaktivitet har en ekstra fordel: mindre "støj" gør det nemmere at spore og tune systemdrift, hvilket bidrager til en sikrere, bedre kørende server.
Effektiv beskyttelse af et FreeBSD system/server er ikke specielt kompliceret. Selvom der kræves en beskeden indsats for at få det op at køre, betaler det sig i væsentligt større VPS og projektsikkerhed.
How to Install Wiki.js on FreeBSD 11
Using a Different System? Wiki.js is a free and open source, modern wiki app built on Node.js, MongoDB, Git and Markdown. Wiki.js source code is publicl
Sådan installeres Pagekit 1.0 CMS på en FreeBSD 11 FAMP VPS
Bruger du et andet system? Pagekit 1.0 CMS er et smukt, modulært, udvideligt og let, gratis og open source Content Management System (CMS) med
Sådan installeres MODX Revolution på en FreeBSD 11 FAMP VPS
Bruger du et andet system? MODX Revolution er et hurtigt, fleksibelt, skalerbart, open source, enterprise-grade Content Management System (CMS) skrevet i PHP. Det jeg
Opsætning af OpenBSD 5.5 64-bit
Denne artikel guider dig gennem opsætning af OpenBSD 5.5 (64-bit) på KVM med en Vultr VPS. Trin 1. Log ind på Vultr kontrolpanelet. Trin 2. Klik på DEPLAY
Sådan installeres osTicket på FreeBSD 12
Bruger du et andet system? osTicket er et open source kundesupport billetsystem. osTicket-kildekoden er offentligt hostet på Github. I denne tutorial
Sådan installeres Flarum Forum på FreeBSD 12
Bruger du et andet system? Flarum er en gratis og open source næste generations forumsoftware, der gør online diskussion sjov. Flarum kildekode er hostet o
Sådan aktiveres TLS 1.3 i Nginx på FreeBSD 12
Bruger du et andet system? TLS 1.3 er en version af Transport Layer Security (TLS) protokollen, der blev offentliggjort i 2018 som en foreslået standard i RFC 8446
Installer WordPress på OpenBSD 6.2
Introduktion WordPress er det dominerende content management system på internettet. Det driver alt fra blogs til komplekse websteder med dynamisk indhold
Sådan installeres Subrion 4.1 CMS på en FreeBSD 11 FAMP VPS
Bruger du et andet system? Subrion 4.1 CMS er et kraftfuldt og fleksibelt open source Content Management System (CMS), der bringer et intuitivt og klart indhold
Sådan konfigureres DJBDNS på FreeBSD
Denne vejledning viser dig, hvordan du konfigurerer en DNS-tjeneste, der er nem at vedligeholde, nem at konfigurere, og som generelt er mere sikker end den klassiske BIN
Sådan installeres Nginx, MySQL og PHP (FEMP) Stack på FreeBSD 12.0
En FEMP-stak, som kan sammenlignes med en LEMP-stak på Linux, er en samling open source-software, der typisk installeres sammen for at aktivere en FreeBS
Installation af MongoDB på FreeBSD 10
MongoDB er en NoSQL-database i verdensklasse, der ofte bruges i nyere webapplikationer. Det giver højtydende forespørgsler, sharding og replikering
Sådan installeres Monica på FreeBSD 12
Bruger du et andet system? Monica er et open source system til styring af personlige relationer. Tænk på det som et CRM (et populært værktøj, der bruges af salgsteams i th
OpenBSD som en e-handelsløsning med PrestaShop og Apache
Introduktion Denne tutorial demonstrerer OpenBSD som en e-handelsløsning, der bruger PrestaShop og Apache. Apache er påkrævet, fordi PrestaShop har kompleks UR
Installation af Fork CMS på FreeBSD 12
Bruger du et andet system? Fork er et open source CMS skrevet i PHP. Forks kildekode er hostet på GitHub. Denne vejledning viser dig, hvordan du installerer Fork CM
Sådan installeres Directus 6.4 CMS på en FreeBSD 11 FAMP VPS
Bruger du et andet system? Directus 6.4 CMS er et kraftfuldt og fleksibelt, gratis og open source Headless Content Management System (CMS), der giver udviklere
Forbedring af sikkerheden for FreeBSD ved hjælp af IPFW og SSHGuard
VPS-servere er ofte målrettet af ubudne gæster. En almindelig type angreb dukker op i systemlogfiler som hundredvis af uautoriserede ssh-loginforsøg. Sætte op
Opsæt httpd i OpenBSD
Introduktion OpenBSD 5.6 introducerede en ny dæmon kaldet httpd, som understøtter CGI (via FastCGI) og TLS. Der kræves ikke yderligere arbejde for at installere den nye http
Konfigurer iRedMail på FreeBSD 10
Denne vejledning viser dig, hvordan du installerer groupware iRedMail på en ny installation af FreeBSD 10. Du bør bruge en server med mindst én gigabyte o
The Rise of Machines: Real World Applications of AI
Kunstig intelligens er ikke i fremtiden, det er her lige i nuet I denne blog Læs, hvordan kunstig intelligens-applikationer har påvirket forskellige sektorer.
DDOS-angreb: et kort overblik
Er du også et offer for DDOS-angreb og forvirret over forebyggelsesmetoderne? Læs denne artikel for at løse dine spørgsmål.
Har du nogensinde spekuleret på, hvordan tjener hackere penge?
Du har måske hørt, at hackere tjener mange penge, men har du nogensinde spekuleret på, hvordan tjener de den slags penge? lad os diskutere.
Revolutionære opfindelser fra Google, der vil gøre dit liv lettere.
Vil du se revolutionerende opfindelser fra Google, og hvordan disse opfindelser ændrede livet for ethvert menneske i dag? Læs derefter til bloggen for at se opfindelser fra Google.
Fredag Essential: Hvad skete der med AI-drevne biler?
Konceptet med selvkørende biler til at køre på vejene ved hjælp af kunstig intelligens er en drøm, vi har haft i et stykke tid nu. Men på trods af flere løfter er de ingen steder at se. Læs denne blog for at lære mere...
Teknologisk singularitet: En fjern fremtid for menneskelig civilisation?
Efterhånden som videnskaben udvikler sig i et hurtigt tempo og overtager en stor del af vores indsats, stiger risikoen for at udsætte os selv for en uforklarlig Singularitet. Læs, hvad singularitet kunne betyde for os.
Udvikling af datalagring – Infografik
Opbevaringsmetoderne for dataene har været under udvikling, kan være siden fødslen af dataene. Denne blog dækker udviklingen af datalagring på basis af en infografik.
Funktioner af Big Data Reference Architecture Layers
Læs bloggen for at kende forskellige lag i Big Data-arkitekturen og deres funktionaliteter på den enkleste måde.
6 fantastiske fordele ved at have smarte hjemmeenheder i vores liv
I denne digitalt drevne verden er smarte hjemmeenheder blevet en afgørende del af livet. Her er et par fantastiske fordele ved smarte hjemmeenheder om, hvordan de gør vores liv værd at leve og enklere.
macOS Catalina 10.15.4-tillægsopdatering forårsager flere problemer end at løse
For nylig udgav Apple macOS Catalina 10.15.4 en supplerende opdatering for at løse problemer, men det ser ud til, at opdateringen forårsager flere problemer, hvilket fører til mursten af mac-maskiner. Læs denne artikel for at lære mere
