Kuinka suojata FreeBSD PF-palomuurilla

Tämä opetusohjelma näyttää kuinka suojaat FreeBSD-palvelimesi OpenBSD PF -palomuurilla. Oletamme, että sinulla on puhdas FreeBSD-asennus, jonka Vultr on ottanut käyttöön ilman käyttäjiä. Teemme palomuuriasetusten lisäksi joitain muita asioita, jotka myös kovettavat FreeBSD-palvelimemme turvallisuutta. Ennen palomuurin konfigurointia asennamme joitain paketteja, koska FreeBSD:n oletusasennuksessa on minimaalinen joukko työkaluja ja paketteja (mikä on oikein), jotta meidän olisi helpompi työskennellä.

FreeBSD:n oletuskuori on /bin/sh. Tämä on peruskuori, jossa ei ole automaattisen täydennyksen toimintoja. Käytämme jotain parempaa. Asennamme zsh.

Asenna ensin nämä paketit:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS on lsLinux-ohjelma. Haluamme vain, että lsLinuxissa ja FreeBSD:ssä on sama komento.

Lisää järjestelmään normaali käyttäjä: (korvaa john käyttäjätunnuksellasi ja älä unohda lisätä käyttäjää pyöräryhmään)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Luo zsh-asetustiedosto:

# ee /home/your-username/.zshrc

Kopioi tämä .zshrc-tiedostoosi:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Suorita tämä komento: (korvaa john käyttäjänimelläsi)

chown john:john /home/john/.zshrc

Kirjaudu nyt FreeBSD-palvelimelle käyttäjätunnuksellasi ja vaihda oletussalasana:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Emme tarvitse sendmailia. Pysäytä ja poista tämä palvelu käytöstä:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Seuraavaksi muutamme rc.conf-tiedostomme näyttämään luonnollisemmalta:

# ee /etc/rc.conf

Muuta se näyttämään tältä:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Muokkaa /etc/hoststiedostoa:

# ee /etc/hosts

Lisää IP-osoitteesi ja isäntänimesi:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Aseta aikavyöhyke:

# bsdconfig

Aina kun voit, poista pääkäyttäjän etäkäyttö käytöstä. Useimmat SSH-hyökkäykset yrittävät päästä pääkäyttäjätilin kautta. Yhdistä aina käyttäjätunnuksellasi ja sitten surootiin. Vain wheelryhmän käyttäjät voivat supäästä rootiin. Siksi lisäsimme käyttäjämme pyöräryhmään.

Poista root-kirjautuminen käytöstä:

# ee /etc/ssh/sshd_config

Poista tämän rivin kommentti:

PermitRootLogin no

Käynnistä uudelleen:

# reboot

Kun uudelleenkäynnistys on valmis, näet seuraavanlaisen viestin Vultr-konsolissa:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Siksi meidän on korjattava kello manuaalisesti. Noudata näitä komentoja supäästäksesi ensin rootiin:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Nyt aiomme määrittää palomuurin. OpenBSD PF sisältyy FreeBSD-ytimeen, joten sinun ei tarvitse asentaa paketteja.

Kanssa eeeditori, luo tiedosto /etc/firewall:

# ee /etc/firewall

Lisää tämä: (korvaa kaikki IP-osoitteet omallasi)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Luo /etc/trustedtiedosto. Tähän tiedostoon laitamme IP-osoitteet, joihin "luotamme".

# ee /etc/trusted

Lisää IP:tä:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Nyt vähän selitystä. Roskapostiportit ja roskapostiosoitteet ovat vain joitain portteja/IP-osoitteita, joita emme halua nähdä lokeissa. Olemme tehneet tämän tällä säännöllä:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Nämä ovat vain oletusasetuksia, eikä sinun tarvitse huolehtia siitä:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Tämä sääntö estää lähtevän SMTP-liikenteen palvelimeltasi (joka on oletusarvo Vultrissa).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Paitsi, bruteforcersettä loppu on melko suoraviivaista.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers sanoo vain: Salli <luotetuista> IP-osoitteista porttiin 22, mutta vain 10 samanaikaista yhteyttä voidaan muodostaa yhdestä lähteen IP-osoitteesta. Jos se on yli 10, estä tämä IP ja laita se table bruteforcers -ohjelmaan. Sama koskee 20/60-sääntöä. Se tarkoittaa enintään 20 yhteyttä 60 sekunnissa.

Ota palomuuri käyttöön:

# ee /etc/rc.conf

Poista näiden rivien kommentit:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Käynnistä uudelleen:

# reboot 

Jos olet tehnyt kaiken oikein, voit kirjautua sisään ja palomuuri otetaan käyttöön. Sinun ei tarvitse käynnistää uudelleen joka kerta, kun muutat /etc/firewalltiedostoa. Tee:

# /etc/rc.d/pf reload

Katso, kuka yrittää muodostaa yhteyden palvelimeesi reaaliajassa:

# tcpdump -n -e -ttt -i pflog0

Näytä historia:

# tcpdump -n -e -ttt -r /var/log/pflog

Katso, onko sinulla joku bruteforcers-taulukossa:

# pfctl -t bruteforcers -T show

Ja siinä se. Olet onnistuneesti ottanut käyttöön PF-palomuurin FreeBSD-palvelimella!