Kā instalēt Blacklistd uz FreeBSD 11.1

Ievads

Jebkurš pakalpojums, kas ir savienots ar internetu, ir potenciāls brutālu spēku uzbrukumu vai nepamatotas piekļuves mērķis. Ir tādi rīki kā fail2banvai sshguard, taču tie ir funkcionāli ierobežoti, jo tie tikai parsē žurnālfailus. Melnajam sarakstam ir cita pieeja. Modificēti dēmoni, piemēram, SSH, var tieši izveidot savienojumu ar melno sarakstu, lai pievienotu jaunus ugunsmūra noteikumus.

1. darbība: PF (ugunsmūris)

Enkurs ir noteikumu kopums, un mums tas ir nepieciešams mūsu PF konfigurācijā. Lai izveidotu minimālu kārtulu kopu, rediģējiet /etc/pf.conftā, lai tas izskatītos šādi:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Tagad iespējojiet PFautomātisku palaišanu, rediģējiet /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Tomēr vispirms ir jāizdara vēl viena lieta: pārbaudiet noteikumus, lai pārliecinātos, ka viss ir pareizi. Šim nolūkam izmantojiet šādu komandu:

pfctl -vnf /etc/pf.conf

Ja šī komanda ziņo par kļūdām, atgriezieties un vispirms izlabojiet tās!

Ieteicams pārbaudīt, vai viss darbojas, kā paredzēts, pārstartējot serveri tūlīt: shutdown -r now

2. darbība: iekļauts melnajā sarakstā

IP ir bloķēti uz 24 stundām. Šī ir noklusējuma vērtība, un to var mainīt /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Rediģēt, /etc/rc.conflai iespējotu melno sarakstu:

blacklistd_enable="YES"
blacklistd_flags="-r"

Sāciet Blacklistd ar šādu komandu:

service blacklistd start

3. darbība: SSH

Pēdējā lieta, kas mums jādara, ir sshdpaziņot blacklistd. Pievienojiet UseBlacklist yessavam /etc/ssh/sshd_configfailam. Tagad restartējiet SSH ar service sshd restart.

Pēdējais solis

Visbeidzot, mēģiniet pieteikties savā serverī ar nederīgu paroli.

Lai iegūtu visus bloķētos IP, izmantojiet kādu no šīm komandām:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Lai noņemtu bloķētu IP, jums jāizmanto komanda pfctl. Piemēram:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Ņemiet vērā, ka blacklistctlIP joprojām tiks rādīts kā bloķēts! Tā ir normāla rīcība, un, cerams, tā tiks noņemta nākamajos laidienos.