Kaip įdiegti juodąjį sąrašą FreeBSD 11.1

Įvadas

Bet kuri prie interneto prijungta paslauga yra potencialus brutalios jėgos atakų ar nepateisinamos prieigos taikinys. Yra įrankių, pvz., fail2banarba sshguard, tačiau jie yra funkcionaliai riboti, nes jie tik analizuoja žurnalo failus. Juodasis sąrašas laikosi kitokio požiūrio. Modifikuoti demonai, tokie kaip SSH, gali tiesiogiai prisijungti prie juodojo sąrašo, kad pridėtų naujų ugniasienės taisyklių.

1 veiksmas: PF (ugniasienė)

Inkaras yra taisyklių rinkinys, kurio mums reikia mūsų PF konfigūracijoje. Norėdami sukurti minimalų taisyklių rinkinį, redaguokite, /etc/pf.confkad jis atrodytų taip:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Dabar įgalinkite PFpaleisti automatiškai, redaguokite /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Tačiau yra dar vienas dalykas, kurį galbūt norėsite padaryti pirmiausia: patikrinkite taisykles, kad įsitikintumėte, jog viskas teisinga. Norėdami tai padaryti, naudokite šią komandą:

pfctl -vnf /etc/pf.conf

Jei ši komanda praneša apie klaidas, grįžkite ir pirmiausia ištaisykite jas!

Gera idėja įsitikinti, kad viskas veikia taip, kaip tikėtasi, iš naujo paleisdami serverį dabar: shutdown -r now

2 veiksmas: įtrauktas į juodąjį sąrašą

IP blokuojami 24 val. Tai yra numatytoji reikšmė ir ją galima pakeisti /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Redaguoti, /etc/rc.confkad įjungtumėte juodąjį sąrašą:

blacklistd_enable="YES"
blacklistd_flags="-r"

Paleiskite Blacklistd naudodami šią komandą:

service blacklistd start

3 veiksmas: SSH

Paskutinis dalykas, kurį turime padaryti, tai pasakyti, sshdkad praneštume blacklistd. Pridėti UseBlacklist yesprie /etc/ssh/sshd_configfailo. Dabar iš naujo paleiskite SSH naudodami service sshd restart.

Paskutinis žingsnis

Galiausiai pabandykite prisijungti prie serverio naudodami neteisingą slaptažodį.

Norėdami gauti visus užblokuotus IP, naudokite vieną iš šių komandų:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Norėdami pašalinti užblokuotą IP, turite naudoti komandą pfctl. Pavyzdžiui:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Atminkite, blacklistctlkad IP vis tiek bus rodomas kaip užblokuotas! Tai normalus elgesys ir, tikimės, bus pašalintas būsimuose leidimuose.