Kuidas installida FreeBSD 11.1 musta nimekirja

Sissejuhatus

Kõik Internetiga ühendatud teenused on jõhkrate rünnakute või põhjendamatu juurdepääsu potentsiaalne sihtmärk. On selliseid tööriistu nagu fail2banvõi sshguard, kuid need on funktsionaalselt piiratud, kuna need sõeluvad ainult logifaile. Blacklistd kasutab teistsugust lähenemist. Muudetud deemonid, nagu SSH, saavad uute tulemüürireeglite lisamiseks ühenduda otse musta nimekirjaga.

1. samm: PF (tulemüür)

Ankur on reeglite kogum ja me vajame seda oma PF-i konfiguratsioonis. Minimaalse reeglistiku loomiseks muutke /etc/pf.confseda nii , et see näeks välja järgmine:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Nüüd lubage PFautomaatne käivitamine, muutke faili /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Siiski on veel üks asi, mida võiksite esmalt teha: testige oma reegleid, et olla kindel, et kõik on õige. Selleks kasutage järgmist käsku:

pfctl -vnf /etc/pf.conf

Kui see käsk teatab vigadest, minge tagasi ja parandage need kõigepealt!

Hea mõte on veenduda, et kõik töötab ootuspäraselt, taaskäivitades serveri kohe: shutdown -r now

2. samm: lisamine musta nimekirja

IP-d blokeeritakse 24 tunniks. See on vaikeväärtus ja seda saab muuta /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Muuda /etc/rc.confmusta nimekirja lubamiseks:

blacklistd_enable="YES"
blacklistd_flags="-r"

Käivitage Blacklistd järgmise käsuga:

service blacklistd start

3. samm: SSH

Viimane asi, mida peame tegema, on sshdteavitada blacklistd. Lisage UseBlacklist yesoma /etc/ssh/sshd_configfaili. Nüüd taaskäivitage SSH rakendusega service sshd restart.

Viimane samm

Lõpuks proovige oma serverisse sisse logida kehtetu parooliga.

Kõigi blokeeritud IP-de hankimiseks kasutage ühte järgmistest käskudest:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Blokeeritud IP eemaldamiseks peate kasutama käsku pfctl. Näiteks:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Pange tähele, et blacklistctlIP kuvatakse endiselt blokeerituna! See on normaalne käitumine ja loodetavasti eemaldatakse see tulevastes versioonides.