FreeBSD 11.1 पर ब्लैकलिस्ट कैसे स्थापित करें

• परिचय
• चरण 1: पीएफ (फ़ायरवॉल)
• चरण 2: ब्लैकलिस्टेड
• चरण 3: एसएसएच
• अंतिम चरण

परिचय

कोई भी सेवा जो इंटरनेट से जुड़ी है, वह ब्रूट-फोर्स अटैक या अनवांटेड एक्सेस के लिए एक संभावित लक्ष्य है। जैसे उपकरण हैं fail2banया sshguard, लेकिन ये कार्यात्मक रूप से सीमित हैं क्योंकि वे केवल लॉग फाइल पार्स कर रहे हैं। ब्लैकलिस्ट एक अलग दृष्टिकोण लेता है। SSH जैसे संशोधित डेमॉन नए फ़ायरवॉल नियमों को जोड़ने के लिए सीधे ब्लैकलिस्ट से कनेक्ट करने में सक्षम हैं।

चरण 1: पीएफ (फ़ायरवॉल)

एक एंकर नियमों का एक संग्रह है और हमें अपने पीएफ कॉन्फ़िगरेशन में एक की आवश्यकता है। एक न्यूनतम नियम बनाने के लिए, /etc/pf.confइसे इस तरह से संपादित करें:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

अब PFस्वचालित रूप से प्रारंभ करने में सक्षम करें, /etc/rc.conf संपादित करें:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

हालाँकि, एक अतिरिक्त चीज है जिसे आप पहले करना चाहते हैं: अपने नियमों का परीक्षण करना सुनिश्चित करें कि सब कुछ सही है। इसके लिए, निम्नलिखित कमांड का उपयोग करें:

pfctl -vnf /etc/pf.conf

यदि यह आदेश त्रुटियों की रिपोर्ट करता है, तो वापस जाएं और पहले उन्हें ठीक करें!

यह सुनिश्चित करने के लिए एक अच्छा विचार है कि सब कुछ काम कर रहा है जैसा कि अब सर्वर को रिबूट करने से अपेक्षित है: shutdown -r now

चरण 2: ब्लैकलिस्टेड

आईपी ​​24h के लिए अवरुद्ध कर रहे हैं। यह डिफ़ॉल्ट मान है और इसे इसमें बदला जा सकता है /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

/etc/rc.confब्लैकलिस्ट को सक्षम करने के लिए संपादित करें :

blacklistd_enable="YES"
blacklistd_flags="-r"

निम्न आदेश के साथ ब्लैकलिस्ट शुरू करें:

service blacklistd start

चरण 3: एसएसएच

एक आखिरी चीज जो हमें करने की जरूरत है वह है sshdसूचित करना blacklistd। UseBlacklist yesअपनी /etc/ssh/sshd_configफ़ाइल में जोड़ें । अब SSH को पुनः आरंभ करें service sshd restart।

अंतिम चरण

अंत में, अमान्य पासवर्ड के साथ अपने सर्वर में प्रवेश करने का प्रयास करें।

अवरुद्ध आईपी के सभी प्राप्त करने के लिए निम्न आदेशों में से एक का उपयोग करें:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

एक अवरुद्ध आईपी को हटाने के लिए आपको कमांड का उपयोग करना होगा pfctl। उदाहरण के लिए:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

ध्यान दें कि blacklistctlअभी भी अवरुद्ध के रूप में आईपी दिखाएगा! यह सामान्य व्यवहार है और भविष्य में रिलीज होने की उम्मीद है।