Ako zabezpečiť FreeBSD pomocou brány PF Firewall

Tento tutoriál vám ukáže, ako chrániť váš server FreeBSD pomocou brány firewall OpenBSD PF. Budeme predpokladať, že máte čistú inštaláciu FreeBSD nasadenú Vultrom bez pridaných používateľov. Okrem konfigurácie Firewallu urobíme niekoľko ďalších vecí, ktoré tiež posilnia bezpečnosť nášho servera FreeBSD. Pred konfiguráciou firewallu nainštalujeme niektoré balíky, pretože predvolená inštalácia FreeBSD prichádza s minimálnou sadou nástrojov a balíkov (čo je správne), aby sme si uľahčili prácu.

Predvolený shell vo FreeBSD je /bin/sh. Toto je základný shell bez funkcií automatického dopĺňania. Použijeme niečo lepšie. Nainštalujeme zsh.

Najprv nainštalujte tieto balíčky:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS je lsprogram z Linuxu. Chceme mať rovnaký lspríkaz v Linuxe a FreeBSD.

Pridajte normálneho užívateľa do systému: (nahraďte john svojim užívateľským menom a nezabudnite pridať užívateľa do skupiny kolies)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Vytvorte konfiguračný súbor zsh:

# ee /home/your-username/.zshrc

Skopírujte to do svojho súboru .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Spustite tento príkaz: (nahraďte Jána svojím užívateľským menom)

chown john:john /home/john/.zshrc

Teraz sa prihláste na server FreeBSD pomocou svojho používateľského mena a zmeňte predvolené heslo používateľa root:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Nepotrebujeme sendmail. Zastavte a zakážte túto službu:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Ďalej zmeníme náš súbor rc.conf, aby vyzeral prirodzenejšie:

# ee /etc/rc.conf

Zmeňte ho, aby vyzeral takto:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Upraviť /etc/hostssúbor:

# ee /etc/hosts

Pridajte svoju IP adresu a názov hostiteľa:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Nastaviť časové pásmo:

# bsdconfig

Kedykoľvek je to možné, zakážte vzdialený prístup pre používateľa root. Väčšina útokov na SSH sa pokúsi o prístup cez účet root. Vždy sa pripojte pomocou svojho používateľského mena a potom suku rootu. Iba používatelia zo wheelskupiny môžu surootovať. Preto sme pridali nášho používateľa do skupiny kolies.

Zakázať prihlásenie root:

# ee /etc/ssh/sshd_config

Odkomentujte tento riadok:

PermitRootLogin no

Reštartovať:

# reboot

Po dokončení reštartu sa v konzole Vultr zobrazí správa podobná tejto:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Preto musíme hodiny korigovať ručne. Postupujte podľa týchto príkazov, najprv surootujte:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Teraz nakonfigurujeme firewall. OpenBSD PF je súčasťou jadra FreeBSD, takže nemusíte inštalovať žiadne balíčky.

Pomocou eeeditora vytvorte súbor /etc/firewall:

# ee /etc/firewall

Vložte toto: (nahraďte všetky IP adresy svojimi)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Vytvorte /etc/trustedsúbor. Do tohto súboru vložíme IP adresy, ktorým „dôverujeme“.

# ee /etc/trusted

Pridajte nejaké IP adresy:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Teraz nejaké vysvetlenie. Nevyžiadané porty a nevyžiadané IP adresy sú len niektoré porty/IP, ktoré nechceme vidieť v protokoloch. Urobili sme to podľa tohto pravidla:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Toto sú len predvolené nastavenia a nemusíte sa o to starať:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Toto pravidlo blokuje odchádzajúce SMTP prenosy z vášho servera (čo je predvolené nastavenie na Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Ibaže bruteforcerszvyšok je celkom priamočiary.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers len hovorí: Povoliť z <dôveryhodných> IP na port 22, ale z jednej zdrojovej IP je možné vytvoriť iba 10 súbežných pripojení. Ak je viac ako 10, zablokujte túto IP a vložte ju do tabuľky bruteforcers. To isté platí pre pravidlo 20/60. To znamená maximálne 20 spojení za 60 sekúnd.

Povoliť firewall:

# ee /etc/rc.conf

Odkomentujte tieto riadky:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Reštartovať:

# reboot 

Ak ste urobili všetko správne, budete sa môcť prihlásiť a firewall bude povolený. Nemusíte reštartovať zakaždým, keď zmeníte /etc/firewallsúbor. Urob:

# /etc/rc.d/pf reload

Zistite, kto sa pokúša pripojiť k vášmu serveru v reálnom čase:

# tcpdump -n -e -ttt -i pflog0

Zobraziť históriu:

# tcpdump -n -e -ttt -r /var/log/pflog

Pozrite sa, či máte niekoho v tabuľke bruteforcers:

# pfctl -t bruteforcers -T show

A to je všetko. Úspešne ste implementovali PF firewall na serveri FreeBSD!