Hur man installerar Blacklistd på FreeBSD 11.1

Introduktion

Alla tjänster som är anslutna till internet är ett potentiellt mål för brute-force-attacker eller omotiverad åtkomst. Det finns verktyg som fail2baneller sshguard, men dessa är funktionellt begränsade eftersom de bara analyserar loggfiler. Blacklistd tar ett annat tillvägagångssätt. Modifierade demoner som SSH kan ansluta direkt till blacklistd för att lägga till nya brandväggsregler.

Steg 1: PF (brandvägg)

Ett ankare är en samling regler och vi behöver en i vår PF-konfiguration. För att skapa en minimal regeluppsättning, redigera /etc/pf.confså det ser ut så här:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

PFAktivera nu för att starta automatiskt, redigera /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Det finns dock ytterligare en sak du kanske vill göra först: testa dina regler för att vara säker på att allt är korrekt. För detta, använd följande kommando:

pfctl -vnf /etc/pf.conf

Om det här kommandot rapporterar fel, gå tillbaka och fixa dem först!

Det är en bra idé att se till att allt fungerar som förväntat genom att starta om servern nu: shutdown -r now

Steg 2: Svartlistad

IP:er är blockerade i 24 timmar. Detta är standardvärdet och kan ändras i /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Redigera för /etc/rc.confatt aktivera Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Starta Blacklistd med följande kommando:

service blacklistd start

Steg 3: SSH

En sista sak vi behöver göra är att säga sshdtill att meddela blacklistd. Lägg UseBlacklist yestill i din /etc/ssh/sshd_configfil. Starta nu om SSH med service sshd restart.

Sista steget

Slutligen, försök att logga in på din server med ett ogiltigt lösenord.

Använd ett av följande kommandon för att få alla blockerade IP-adresser:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

För att ta bort en blockerad IP måste du använda kommandot pfctl. Till exempel:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Observera att blacklistctlIP:n fortfarande visas som blockerad! Detta är normalt beteende och kommer förhoppningsvis att tas bort i framtida utgåvor.