Kako osigurati FreeBSD s PF vatrozidom

Ovaj vodič će vam pokazati kako zaštititi svoj FreeBSD poslužitelj korištenjem OpenBSD PF vatrozida. Pretpostavit ćemo da imate čistu FreeBSD instalaciju koju je postavio Vultr bez dodanih korisnika. Učinit ćemo još neke stvari osim konfiguracije vatrozida koje će također ojačati sigurnost našeg FreeBSD poslužitelja. Prije konfiguracije vatrozida, instalirat ćemo neke pakete jer zadana instalacija FreeBSD-a dolazi s minimalnim skupom alata i paketa (što je točno), kako bi nam olakšali rad.

Zadana ljuska u FreeBSD-u je /bin/sh. Ovo je osnovna ljuska bez funkcija automatskog dovršavanja. Koristit ćemo nešto bolje. Mi ćemo instalirati zsh.

Prvo instalirajte ove pakete:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS je lsprogram iz Linuxa. Samo želimo imati istu lsnaredbu u Linuxu i FreeBSD-u.

Dodajte normalnog korisnika u sustav: (zamijenite john svojim korisničkim imenom i ne zaboravite dodati korisnika u grupu kotača)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Kreirajte konfiguracijsku datoteku zsh:

# ee /home/your-username/.zshrc

Kopirajte ovo u svoju .zshrc datoteku:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Pokrenite ovu naredbu: (zamijenite john svojim korisničkim imenom)

chown john:john /home/john/.zshrc

Sada se prijavite na FreeBSD poslužitelj sa svojim korisničkim imenom i promijenite zadanu root lozinku:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Ne treba nam sendmail. Zaustavite i onemogućite ovu uslugu:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Zatim ćemo promijeniti našu rc.conf datoteku da izgleda prirodnije:

# ee /etc/rc.conf

Promijenite da izgleda ovako:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Uredi /etc/hostsdatoteku:

# ee /etc/hosts

Dodajte svoju IP adresu i ime hosta:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Postavi vremensku zonu:

# bsdconfig

Kad god možete, onemogućite daljinski pristup za root korisnika. Većina napada na SSH pokušat će pristupiti putem root korisničkog računa. Uvijek se povežite sa svojim korisničkim imenom, a zatim sus root-om. Samo korisnici iz wheelgrupe mogu surootati. Zato smo dodali našeg korisnika u grupu kotača.

Onemogući root prijavu:

# ee /etc/ssh/sshd_config

Dekomentiraj ovaj redak:

PermitRootLogin no

Ponovno podizanje sustava:

# reboot

Nakon što ponovno podizanje sustava završi, vidjet ćete poruku poput ove na Vultr konzoli:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Zato moramo ručno ispraviti sat. Slijedite ove naredbe, prvo suza root:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Sada ćemo konfigurirati vatrozid. OpenBSD PF je uključen u FreeBSD kernel, tako da ne morate instalirati nikakve pakete.

S eeeditorom kreirajte datoteku /etc/firewall:

# ee /etc/firewall

Umetnite ovo: (zamijenite sve IP adrese svojom)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Napravite /etc/trusteddatoteku. U ovu datoteku ćemo staviti IP adrese kojima "vjerujemo".

# ee /etc/trusted

Dodajte neke IP adrese:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Sada malo objašnjenja. Neželjeni portovi i neželjeni IP-ovi samo su neki portovi/IP-ovi koje ne želimo vidjeti u zapisnicima. To smo učinili s ovim pravilom:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Ovo su samo zadane postavke i ne morate brinuti o tome:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Ovo pravilo blokira odlazni SMTP promet s vašeg poslužitelja (što je zadano na Vultru).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Osim što bruteforcersje ostalo prilično ravno naprijed.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers samo kaže: Dopusti s <pouzdanih> IP-ova na port 22, ali samo 10 istodobnih veza može se napraviti s jednog izvornog IP-a. Ako je više od 10, blokirajte ovaj IP i stavite ga u tablice bruteforcera. Isto vrijedi i za pravilo 20/60. To znači maksimalno 20 veza u 60 sekundi.

Omogući vatrozid:

# ee /etc/rc.conf

Dekomentiraj ove retke:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Ponovno podizanje sustava:

# reboot 

Ako ste sve učinili kako treba, tada ćete se moći prijaviti i vatrozid će biti omogućen. Ne morate se ponovno podizati svaki put kada promijenite /etc/firewalldatoteku. Uradi:

# /etc/rc.d/pf reload

Pogledajte tko se pokušava spojiti na vaš poslužitelj u stvarnom vremenu:

# tcpdump -n -e -ttt -i pflog0

Prikaži povijest:

# tcpdump -n -e -ttt -r /var/log/pflog

Provjerite imate li nekoga za bruteforcer stolom:

# pfctl -t bruteforcers -T show

I to je to. Uspješno ste implementirali PF vatrozid na FreeBSD poslužitelju!