Kuinka asentaa Blacklistd FreeBSD 11.1:een

Johdanto

Kaikki Internetiin yhdistetyt palvelut ovat mahdollinen raa'an voiman hyökkäysten tai aiheettoman käytön kohteena. On olemassa työkaluja, kuten fail2bantai sshguard, mutta ne ovat toiminnallisesti rajoitettuja, koska ne jäsentävät vain lokitiedostoja. Blacklistd käyttää erilaista lähestymistapaa. Muokatut demonit, kuten SSH, voivat muodostaa yhteyden suoraan mustaan ​​listaan ​​lisätäkseen uusia palomuurisääntöjä.

Vaihe 1: PF (palomuuri)

Ankkuri on kokoelma sääntöjä, ja tarvitsemme sellaisen PF-kokoonpanossamme. Luo vähimmäissääntöjoukko muokkaamalla /etc/pf.confsitä tältä:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Ota nyt käyttöön PFautomaattinen käynnistys ja muokkaa tiedostoa /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

On kuitenkin vielä yksi asia, jonka haluat ehkä tehdä ensin: testaa sääntöjäsi varmistaaksesi, että kaikki on oikein. Käytä tätä varten seuraavaa komentoa:

pfctl -vnf /etc/pf.conf

Jos tämä komento ilmoittaa virheistä, palaa takaisin ja korjaa ne ensin!

On hyvä idea varmistaa, että kaikki toimii odotetulla tavalla käynnistämällä palvelin uudelleen nyt: shutdown -r now

Vaihe 2: Musta lista

IP:t on estetty 24 tunniksi. Tämä on oletusarvo, ja sitä voidaan muuttaa seuraavasti /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Muokkaa /etc/rc.confottaaksesi mustan listan käyttöön:

blacklistd_enable="YES"
blacklistd_flags="-r"

Käynnistä Blacklistd seuraavalla komennolla:

service blacklistd start

Vaihe 3: SSH

Viimeinen asia, joka meidän on tehtävä, on sshdilmoittaa blacklistd. Lisää UseBlacklist yesomaan /etc/ssh/sshd_configtiedostoon. Käynnistä nyt SSH uudelleen komennolla service sshd restart.

Viimeinen vaihe

Yritä lopuksi kirjautua palvelimellesi virheellisellä salasanalla.

Saat kaikki estetyt IP-osoitteet käyttämällä jotakin seuraavista komennoista:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Estetyn IP:n poistamiseksi sinun on käytettävä komentoa pfctl. Esimerkiksi:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Huomaa, blacklistctlettä IP-osoite näkyy edelleen estettynä! Tämä on normaalia toimintaa, ja toivottavasti se poistetaan tulevissa julkaisuissa.