Kako namestiti Blacklistd na FreeBSD 11.1

Uvod

Vsaka storitev, ki je povezana z internetom, je potencialna tarča za napade s surovo silo ali neupravičen dostop. Obstajajo orodja, kot je fail2banali sshguard, vendar so ta funkcionalno omejena, ker razčlenjujejo samo datoteke dnevnika. Blacklistd uporablja drugačen pristop. Spremenjeni demoni, kot je SSH, se lahko povežejo neposredno na blacklistd, da dodajo nova pravila požarnega zidu.

1. korak: PF (požarni zid)

Sidro je zbirka pravil in potrebujemo ga v naši konfiguraciji PF. Če želite ustvariti minimalen nabor pravil, uredite /etc/pf.conftako, da bo videti tako:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Zdaj omogočite PFsamodejni zagon, uredite /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Vendar pa obstaja še ena stvar, ki bi jo morda želeli najprej narediti: preizkusite svoja pravila in se prepričajte, da je vse pravilno. Za to uporabite naslednji ukaz:

pfctl -vnf /etc/pf.conf

Če ta ukaz poroča o napakah, se vrnite in jih najprej popravite!

Dobro je, da se prepričate, da vse deluje po pričakovanjih, tako da zdaj znova zaženete strežnik: shutdown -r now

2. korak: črni seznam

IP-ji so blokirani 24 ur. To je privzeta vrednost in jo je mogoče spremeniti v /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Uredite, /etc/rc.confda omogočite Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Zaženite Blacklistd z naslednjim ukazom:

service blacklistd start

3. korak: SSH

Zadnja stvar, ki jo moramo storiti, je, sshdda obvestimo blacklistd. Dodajte UseBlacklist yesv svojo /etc/ssh/sshd_configdatoteko. Zdaj znova zaženite SSH z service sshd restart.

Zadnji korak

Na koncu se poskusite prijaviti v strežnik z neveljavnim geslom.

Če želite dobiti vse blokirane IP-je, uporabite enega od naslednjih ukazov:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Če želite odstraniti blokiran IP, morate uporabiti ukaz pfctl. Na primer:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Upoštevajte, da blacklistctlbo IP še vedno prikazan kot blokiran! To je normalno vedenje in upamo, da bo odstranjeno v prihodnjih izdajah.