Comment sécuriser FreeBSD avec le pare-feu PF

Ce tutoriel vous montrera comment protéger votre serveur FreeBSD à l'aide du pare-feu OpenBSD PF. Nous supposerons que vous avez une installation propre de FreeBSD déployée par Vultr sans aucun utilisateur ajouté. Nous ferons d'autres choses en plus de la configuration du pare-feu qui durcira également la sécurité de notre serveur FreeBSD. Avant la configuration du pare-feu, nous installerons certains packages car l'installation par défaut de FreeBSD est livrée avec un ensemble minimal d'outils et de packages (ce qui est correct), pour nous faciliter le travail.

Le shell par défaut dans FreeBSD est /bin/sh. Il s'agit d'un shell de base sans fonctions d'auto-complétion. Nous utiliserons quelque chose de mieux. Nous allons installer zsh.

Tout d'abord, installez ces packages:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS est le lsprogramme de Linux. Nous voulons juste avoir la même lscommande sous Linux et FreeBSD.

Ajoutez un utilisateur normal au système: (remplacez john par votre nom d'utilisateur et n'oubliez pas d'ajouter l'utilisateur au groupe de roues)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Créez un fichier de configuration zsh:

# ee /home/your-username/.zshrc

Copiez ceci dans votre fichier .zshrc:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Exécutez cette commande: (remplacez john par votre nom d'utilisateur)

chown john:john /home/john/.zshrc

Maintenant, connectez-vous au serveur FreeBSD avec votre nom d'utilisateur et changez le mot de passe root par défaut:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Nous n'avons pas besoin de sendmail. Arrêtez et désactivez ce service:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Ensuite, nous allons changer notre fichier rc.conf pour avoir l'air plus naturel:

# ee /etc/rc.conf

Changez-le pour ressembler à ceci:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Modifier le /etc/hostsfichier:

# ee /etc/hosts

Ajoutez votre adresse IP et votre nom d'hôte:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Définir le fuseau horaire:

# bsdconfig

Chaque fois que vous le pouvez, désactivez l'accès à distance pour l'utilisateur root. La plupart des attaques sur SSH tenteront d'accéder via le compte d'utilisateur root. Connectez-vous toujours avec votre nom d'utilisateur puis suà root. Seuls les utilisateurs du wheelgroupe peuvent surooter. C'est pourquoi nous avons ajouté notre utilisateur au groupe de roues.

Désactiver la connexion root:

# ee /etc/ssh/sshd_config

Décommentez cette ligne:

PermitRootLogin no

Redémarrer:

# reboot

Une fois le redémarrage terminé, vous verrez un message comme celui-ci dans la console Vultr:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

C'est pourquoi nous devons corriger l'horloge manuellement. Suivez ces commandes, d'abord supour rooter:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Maintenant, nous allons configurer le pare-feu. OpenBSD PF est inclus dans le noyau FreeBSD, vous n'avez donc pas besoin d'installer de paquet.

Avec l' eeéditeur, créez un fichier /etc/firewall:

# ee /etc/firewall

Insérez ceci: (remplacez toutes les adresses IP par les vôtres)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Créez un /etc/trustedfichier. Dans ce fichier, nous mettrons les IP auxquelles nous "faisons confiance".

# ee /etc/trusted

Ajoutez des IP:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Maintenant, une explication. Les ports indésirables et les adresses IP indésirables ne sont que quelques ports / IP que nous ne voulons pas voir dans les journaux. Nous l'avons fait avec cette règle:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Ce ne sont que des valeurs par défaut et vous n'avez pas à vous en préoccuper:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Cette règle bloque le trafic SMTP sortant de votre serveur (qui est la valeur par défaut sur Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Sauf que bruteforcersle reste est assez simple.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers dit simplement: Autoriser à partir des adresses IP <approuvées> vers le port 22, mais seules 10 connexions simultanées peuvent être établies à partir d'une adresse IP source. Si elle est supérieure à 10, bloquez cette IP et placez-la dans les table bruteforcers. Il en va de même pour la règle 20/60. Cela signifie un maximum de 20 connexions en 60 secondes.

Activer le pare-feu:

# ee /etc/rc.conf

Décommentez ces lignes:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Redémarrer:

# reboot 

Si vous avez tout fait correctement, vous pourrez vous connecter et le pare-feu sera activé. Vous n'avez pas besoin de redémarrer chaque fois que vous modifiez le /etc/firewallfichier. Faites juste:

# /etc/rc.d/pf reload

Découvrez qui essaie de se connecter à votre serveur en temps réel:

# tcpdump -n -e -ttt -i pflog0

Afficher l'historique:

# tcpdump -n -e -ttt -r /var/log/pflog

Voyez si vous avez quelqu'un dans la table bruteforcers:

# pfctl -t bruteforcers -T show

Et c'est tout. Vous avez réussi à implémenter le pare-feu PF sur le serveur FreeBSD!