Як захистити FreeBSD за допомогою брандмауера PF

Цей посібник покаже вам, як захистити свій сервер FreeBSD за допомогою брандмауера OpenBSD PF. Ми будемо вважати, що у вас є чиста інсталяція FreeBSD, розгорнута Vultr без доданих користувачів. Ми зробимо деякі інші речі, окрім налаштування брандмауера, що також посилить безпеку нашого сервера FreeBSD. Перед налаштуванням брандмауера ми встановимо деякі пакунки, оскільки стандартна інсталяція FreeBSD поставляється з мінімальним набором інструментів і пакетів (що правильно), щоб нам було легше працювати.

Оболонка за замовчуванням у FreeBSD є /bin/sh. Це базова оболонка без функцій автозаповнення. Ми будемо використовувати щось краще. Ми встановимо zsh.

Спочатку встановіть ці пакети:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS - це lsпрограма з Linux. Ми просто хочемо мати ту саму lsкоманду в Linux і FreeBSD.

Додайте звичайного користувача до системи: (замініть john на своє ім’я користувача та не забудьте додати користувача до групи колес)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Створіть файл конфігурації zsh:

# ee /home/your-username/.zshrc

Скопіюйте це у свій файл .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Виконайте цю команду: (замініть john своїм іменем користувача)

chown john:john /home/john/.zshrc

Тепер увійдіть на сервер FreeBSD зі своїм іменем користувача та змініть пароль root за замовчуванням:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Нам не потрібен sendmail. Зупиніть і вимкніть цю службу:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Далі ми змінимо наш файл rc.conf, щоб він виглядав більш природним:

# ee /etc/rc.conf

Змініть його, щоб він виглядав так:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Редагувати /etc/hostsфайл:

# ee /etc/hosts

Додайте свою IP-адресу та ім'я хоста:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Встановити часовий пояс:

# bsdconfig

За можливості вимкніть віддалений доступ для користувача root. Більшість атак на SSH намагатимуться отримати доступ через обліковий запис користувача root. Завжди підключайтеся до свого імені користувача, а потім suдо root. Тільки користувачі з wheelгрупи можуть suотримати root. Тому ми додали нашого користувача до групи коліс.

Вимкнути root-вхід:

# ee /etc/ssh/sshd_config

Розкоментуйте цей рядок:

PermitRootLogin no

Перезавантаження:

# reboot

Після завершення перезавантаження на консолі Vultr ви побачите таке повідомлення:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Тому нам потрібно виправити годинник вручну. Виконайте ці команди, перш за все, suщоб отримати root:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Тепер ми збираємося налаштувати брандмауер. OpenBSD PF входить до ядра FreeBSD, тому вам не потрібно встановлювати жодні пакунки.

За допомогою eeредактора створіть файл /etc/firewall:

# ee /etc/firewall

Вставте це: (замініть будь-які IP-адреси своєю)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Створити /etc/trustedфайл. У цьому файлі ми помістимо IP-адреси, яким ми «довіряємо».

# ee /etc/trusted

Додайте кілька IP-адрес:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Тепер деякі пояснення. Непотрібні порти та небажані IP-адреси – це лише деякі порти/IP-адреси, які ми не хочемо бачити в журналах. Ми зробили це за допомогою цього правила:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Це лише параметри за замовчуванням, і вам не потрібно турбуватися про це:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Це правило блокує вихідний SMTP-трафік з вашого сервера (який є за замовчуванням на Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

За винятком bruteforcersрешти досить прямолінійно.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers просто каже: Дозволити з <довірених> IP-адрес на порт 22, але лише 10 одночасних підключень можна зробити з одного джерела IP. Якщо їх більше 10, заблокуйте цей IP і помістіть його в таблицю брутфорсерів. Те ж саме стосується правила 20/60. Це означає максимум 20 підключень за 60 секунд.

Увімкнути брандмауер:

# ee /etc/rc.conf

Розкоментуйте ці рядки:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Перезавантаження:

# reboot 

Якщо ви все зробили правильно, ви зможете увійти в систему, і брандмауер буде включено. Вам не потрібно перезавантажуватися щоразу, коли ви змінюєте /etc/firewallфайл. Просто зробіть:

# /etc/rc.d/pf reload

Подивіться, хто намагається підключитися до вашого сервера в режимі реального часу:

# tcpdump -n -e -ttt -i pflog0

Показати історію:

# tcpdump -n -e -ttt -r /var/log/pflog

Подивіться, чи є у вас хтось у таблиці брутфорсу:

# pfctl -t bruteforcers -T show

І це все. Ви успішно впровадили брандмауер PF на сервері FreeBSD!