Denne opplæringen vil vise deg hvordan du beskytter din FreeBSD-server ved å bruke OpenBSD PF brannmur. Vi vil anta at du har en ren FreeBSD-installasjon distribuert av Vultr uten brukere lagt til. Vi vil gjøre noen andre ting ved siden av brannmurkonfigurasjon som også vil forsterke sikkerheten til vår FreeBSD-server. Før brannmurkonfigurasjon vil vi installere noen pakker siden standard FreeBSD-installasjonen kommer med et minimalt sett med verktøy og pakker (som er riktig), for å gjøre det lettere for oss å jobbe.
Standardskallet i FreeBSD er /bin/sh. Dette er et grunnleggende skall uten autofullføringsfunksjoner. Vi skal bruke noe bedre. Vi vil installere zsh.
Installer først disse pakkene:
# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...
GNULS er lsprogrammet fra Linux. Vi vil bare ha den samme lskommandoen i Linux og FreeBSD.
Legg til en vanlig bruker til systemet: (erstatt john med brukernavnet ditt og ikke glem å legge til bruker i hjulgruppen)
# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default):
Login group [john]:
Login group is john. Invite john into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : john
Password : *****
Full Name : John Doe
Uid : 1001
Class :
Groups : john wheel
Home : /home/john
Home Mode :
Shell : /usr/local/bin/zsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!
Opprett zsh konfigurasjonsfil:
# ee /home/your-username/.zshrc
Kopier dette til .zshrc-filen din:
PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "
bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'
export EDITOR=ee
autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit
# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory
Kjør denne kommandoen: (erstatt john med brukernavnet ditt)
chown john:john /home/john/.zshrc
Logg nå på FreeBSD-serveren med brukernavnet ditt og endre standard root-passord:
<vultr>[~]$ su
Password:
<vultr>[~]# passwd
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]#
Vi trenger ikke sendmail. Stopp og deaktiver denne tjenesten:
<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.
Deretter vil vi endre rc.conf-filen vår slik at den ser mer naturlig ut:
# ee /etc/rc.conf
Endre den til å se slik ut:
#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"
#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"
#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"
#pflog_logfile="/var/log/pflog"
#pflog_flags=""
sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
Rediger /etc/hostsfil:
# ee /etc/hosts
Legg til din IP-adresse og vertsnavn:
::1 localhost localhost.ceph ceph
127.0.0.1 localhost localhost.ceph ceph
108.61.178.110 ceph.domain1.com ceph
Angi tidssone:
# bsdconfig
Når du kan, deaktiver ekstern tilgang for rotbrukeren. De fleste angrep på SSH vil prøve å få tilgang gjennom root-brukerkontoen. Koble alltid til med brukernavnet ditt og deretter sutil root. Bare brukere fra wheelgruppen kan suroote. Derfor har vi lagt til brukeren vår i hjulgruppen.
Deaktiver rotpålogging:
# ee /etc/ssh/sshd_config
Fjern kommentarene til denne linjen:
PermitRootLogin no
Start på nytt:
# reboot
Etter at omstarten er ferdig, vil du se en melding som denne i Vultr-konsollen:
time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.
Derfor må vi korrigere klokken manuelt. Følg disse kommandoene, først for suå root:
$ su
Password:
# ntpdate 0.europe.pool.ntp.org
Nå skal vi konfigurere brannmuren. OpenBSD PF er inkludert i FreeBSD-kjernen, så du trenger ikke å installere noen pakker.
Med eeeditor, lag fil /etc/firewall:
# ee /etc/firewall
Sett inn dette: (erstatt eventuelle IP-adresser med dine)
#######################################################################
me="vtnet0"
table <bruteforcers> persist
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
# ---- Second rule "Block all in and pass all out"
block in log all
pass out all keep state
############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state
# ---- block SMTP out
block quick proto tcp from $me to any port 25
# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state
# ---- Allow my team member SSH access
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state
# ---- Block bruteforcers
block log quick from <bruteforcers>
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
# ---- Allow ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
Opprett /etc/trustedfil. I denne filen vil vi legge inn IP-er som vi "stoler på".
# ee /etc/trusted
Legg til noen IP-er:
# Hosting
1.2.0.0/16
# My friends
1.2.4.0/24
Nå litt forklaring. Søppelporter og søppel-IP-er er bare noen porter/IP-er som vi ikke ønsker å se i logger. Vi har gjort dette med denne regelen:
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
Dette er bare standardinnstillinger, og du trenger ikke å bekymre deg for det:
icmp_types = "echoreq"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all
pass out all keep state
Denne regelen blokkerer utgående SMTP-trafikk fra serveren din (som er standard på Vultr).
# ---- block SMTP out
block quick proto tcp from $me to any port 25
Bortsett fra bruteforcersat resten er ganske rett frem.
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
Bruteforcers sier bare: Tillat fra <trusted> IP-er til port 22, men bare 10 samtidige tilkoblinger kan gjøres fra én kilde-IP. Hvis det er mer enn 10, blokker denne IP-en og legg den inn i table bruteforcers. Det samme gjelder 20/60-regelen. Det betyr maks 20 tilkoblinger på 60 sekunder.
Aktiver brannmur:
# ee /etc/rc.conf
Fjern kommentarene til disse linjene:
pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
Start på nytt:
# reboot
Hvis du har gjort alt riktig, vil du kunne logge på og brannmuren aktiveres. Du trenger ikke å starte på nytt hver gang du endrer /etc/firewallfilen. Bare gjør:
# /etc/rc.d/pf reload
Se hvem som prøver å koble til serveren din i sanntid:
# tcpdump -n -e -ttt -i pflog0
Vis historikk:
# tcpdump -n -e -ttt -r /var/log/pflog
Se om du har noen i bruteforcers table:
# pfctl -t bruteforcers -T show
Og det er det. Du har implementert PF brannmur på FreeBSD server!
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
