Ovaj vodič će vam pokazati kako zaštititi svoj FreeBSD poslužitelj korištenjem OpenBSD PF vatrozida. Pretpostavit ćemo da imate čistu FreeBSD instalaciju koju je postavio Vultr bez dodanih korisnika. Učinit ćemo još neke stvari osim konfiguracije vatrozida koje će također ojačati sigurnost našeg FreeBSD poslužitelja. Prije konfiguracije vatrozida, instalirat ćemo neke pakete jer zadana instalacija FreeBSD-a dolazi s minimalnim skupom alata i paketa (što je točno), kako bi nam olakšali rad.
Zadana ljuska u FreeBSD-u je /bin/sh. Ovo je osnovna ljuska bez funkcija automatskog dovršavanja. Koristit ćemo nešto bolje. Mi ćemo instalirati zsh.
Prvo instalirajte ove pakete:
# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...
GNULS je lsprogram iz Linuxa. Samo želimo imati istu lsnaredbu u Linuxu i FreeBSD-u.
Dodajte normalnog korisnika u sustav: (zamijenite john svojim korisničkim imenom i ne zaboravite dodati korisnika u grupu kotača)
# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default):
Login group [john]:
Login group is john. Invite john into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : john
Password : *****
Full Name : John Doe
Uid : 1001
Class :
Groups : john wheel
Home : /home/john
Home Mode :
Shell : /usr/local/bin/zsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!
Kreirajte konfiguracijsku datoteku zsh:
# ee /home/your-username/.zshrc
Kopirajte ovo u svoju .zshrc datoteku:
PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "
bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'
export EDITOR=ee
autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit
# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory
Pokrenite ovu naredbu: (zamijenite john svojim korisničkim imenom)
chown john:john /home/john/.zshrc
Sada se prijavite na FreeBSD poslužitelj sa svojim korisničkim imenom i promijenite zadanu root lozinku:
<vultr>[~]$ su
Password:
<vultr>[~]# passwd
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]#
Ne treba nam sendmail. Zaustavite i onemogućite ovu uslugu:
<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.
Zatim ćemo promijeniti našu rc.conf datoteku da izgleda prirodnije:
# ee /etc/rc.conf
Promijenite da izgleda ovako:
#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"
#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"
#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"
#pflog_logfile="/var/log/pflog"
#pflog_flags=""
sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
Uredi /etc/hostsdatoteku:
# ee /etc/hosts
Dodajte svoju IP adresu i ime hosta:
::1 localhost localhost.ceph ceph
127.0.0.1 localhost localhost.ceph ceph
108.61.178.110 ceph.domain1.com ceph
Postavi vremensku zonu:
# bsdconfig
Kad god možete, onemogućite daljinski pristup za root korisnika. Većina napada na SSH pokušat će pristupiti putem root korisničkog računa. Uvijek se povežite sa svojim korisničkim imenom, a zatim sus root-om. Samo korisnici iz wheelgrupe mogu surootati. Zato smo dodali našeg korisnika u grupu kotača.
Onemogući root prijavu:
# ee /etc/ssh/sshd_config
Dekomentiraj ovaj redak:
PermitRootLogin no
Ponovno podizanje sustava:
# reboot
Nakon što ponovno podizanje sustava završi, vidjet ćete poruku poput ove na Vultr konzoli:
time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.
Zato moramo ručno ispraviti sat. Slijedite ove naredbe, prvo suza root:
$ su
Password:
# ntpdate 0.europe.pool.ntp.org
Sada ćemo konfigurirati vatrozid. OpenBSD PF je uključen u FreeBSD kernel, tako da ne morate instalirati nikakve pakete.
S eeeditorom kreirajte datoteku /etc/firewall:
# ee /etc/firewall
Umetnite ovo: (zamijenite sve IP adrese svojom)
#######################################################################
me="vtnet0"
table <bruteforcers> persist
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
# ---- Second rule "Block all in and pass all out"
block in log all
pass out all keep state
############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state
# ---- block SMTP out
block quick proto tcp from $me to any port 25
# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state
# ---- Allow my team member SSH access
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state
# ---- Block bruteforcers
block log quick from <bruteforcers>
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
# ---- Allow ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
Napravite /etc/trusteddatoteku. U ovu datoteku ćemo staviti IP adrese kojima "vjerujemo".
# ee /etc/trusted
Dodajte neke IP adrese:
# Hosting
1.2.0.0/16
# My friends
1.2.4.0/24
Sada malo objašnjenja. Neželjeni portovi i neželjeni IP-ovi samo su neki portovi/IP-ovi koje ne želimo vidjeti u zapisnicima. To smo učinili s ovim pravilom:
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
Ovo su samo zadane postavke i ne morate brinuti o tome:
icmp_types = "echoreq"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all
pass out all keep state
Ovo pravilo blokira odlazni SMTP promet s vašeg poslužitelja (što je zadano na Vultru).
# ---- block SMTP out
block quick proto tcp from $me to any port 25
Osim što bruteforcersje ostalo prilično ravno naprijed.
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
Bruteforcers samo kaže: Dopusti s <pouzdanih> IP-ova na port 22, ali samo 10 istodobnih veza može se napraviti s jednog izvornog IP-a. Ako je više od 10, blokirajte ovaj IP i stavite ga u tablice bruteforcera. Isto vrijedi i za pravilo 20/60. To znači maksimalno 20 veza u 60 sekundi.
Omogući vatrozid:
# ee /etc/rc.conf
Dekomentiraj ove retke:
pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
Ponovno podizanje sustava:
# reboot
Ako ste sve učinili kako treba, tada ćete se moći prijaviti i vatrozid će biti omogućen. Ne morate se ponovno podizati svaki put kada promijenite /etc/firewalldatoteku. Uradi:
# /etc/rc.d/pf reload
Pogledajte tko se pokušava spojiti na vaš poslužitelj u stvarnom vremenu:
# tcpdump -n -e -ttt -i pflog0
Prikaži povijest:
# tcpdump -n -e -ttt -r /var/log/pflog
Provjerite imate li nekoga za bruteforcer stolom:
# pfctl -t bruteforcers -T show
I to je to. Uspješno ste implementirali PF vatrozid na FreeBSD poslužitelju!
Umjetna inteligencija nije u budućnosti, ovdje je upravo u sadašnjosti. U ovom blogu Pročitajte kako su aplikacije umjetne inteligencije utjecale na različite sektore.
Jeste li i vi žrtva DDOS napada i zbunjeni ste metodama prevencije? Pročitajte ovaj članak kako biste riješili svoje upite.
Možda ste čuli da hakeri zarađuju mnogo novca, ali jeste li se ikada zapitali kako zarađuju toliki novac? raspravimo.
Želite li vidjeti revolucionarne izume Googlea i kako su ti izumi promijenili život svakog čovjeka danas? Zatim čitajte na blogu kako biste vidjeli Googleove izume.
Koncept samovozećih automobila koji će krenuti na ceste uz pomoć umjetne inteligencije san je koji već neko vrijeme imamo. No, unatoč nekoliko obećanja, nigdje ih nema. Pročitajte ovaj blog kako biste saznali više…
Kako se znanost razvija velikom brzinom, preuzimajući mnoge naše napore, raste i rizik da se podvrgnemo neobjašnjivoj Singularnosti. Pročitajte što bi za nas mogla značiti singularnost.
Pročitajte blog kako biste na najjednostavniji način upoznali različite slojeve u arhitekturi velikih podataka i njihove funkcionalnosti.
Metode pohrane podataka su se razvijale možda od rođenja podataka. Ovaj blog pokriva evoluciju pohrane podataka na temelju infografike.
U ovom digitalnom svijetu, pametni kućni uređaji postali su ključni dio života. Evo nekoliko nevjerojatnih prednosti pametnih kućnih uređaja o tome kako naš život čine vrijednim življenja i jednostavnijim.
Nedavno je Apple izdao macOS Catalina 10.15.4 dodatak ažuriranju kako bi riješio probleme, ali čini se da ažuriranje uzrokuje više problema koji dovode do zalijevanja mac strojeva. Pročitajte ovaj članak da biste saznali više
