Cara Memasang Blacklistd di FreeBSD 11.1

• pengantar
• Langkah 1: PF (Firewall)
• Langkah 2: Daftar Hitam
• Langkah 3: SSH
• Langkah terakhir

pengantar

Setiap layanan yang terhubung ke internet adalah target potensial untuk serangan brute-force atau akses tidak beralasan. Ada alat seperti fail2banatau sshguard, tetapi ini secara fungsional terbatas karena mereka hanya mengurai file log. Blacklistd mengambil pendekatan yang berbeda. Daemon yang dimodifikasi seperti SSH dapat terhubung langsung ke daftar hitam untuk menambahkan aturan firewall baru.

Langkah 1: PF (Firewall)

Jangkar adalah kumpulan aturan dan kami membutuhkannya dalam konfigurasi PF kami. Untuk membuat aturan minimum, edit /etc/pf.confagar terlihat seperti ini:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Sekarang aktifkan PFuntuk memulai secara otomatis, edit /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Namun, ada satu hal tambahan yang mungkin ingin Anda lakukan terlebih dahulu: uji aturan Anda untuk memastikan semuanya benar. Untuk ini, gunakan perintah berikut:

pfctl -vnf /etc/pf.conf

Jika perintah ini melaporkan kesalahan, kembali dan perbaiki yang pertama!

Sebaiknya pastikan semuanya berfungsi seperti yang diharapkan dengan me-reboot server sekarang: shutdown -r now

Langkah 2: Daftar Hitam

IP diblokir selama 24 jam. Ini adalah nilai default dan dapat diubah di /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Edit /etc/rc.confuntuk mengaktifkan Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Mulai Blacklistd dengan perintah berikut:

service blacklistd start

Langkah 3: SSH

Satu hal terakhir yang perlu kita lakukan adalah memberi tahu sshduntuk memberi tahu blacklistd. Tambahkan UseBlacklist yeske /etc/ssh/sshd_configfile Anda . Sekarang mulai ulang SSH dengan service sshd restart.

Langkah terakhir

Terakhir, coba masuk ke server Anda dengan kata sandi yang tidak valid.

Untuk mendapatkan semua IP yang diblokir, gunakan salah satu dari perintah berikut:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Untuk menghapus IP yang diblokir, Anda harus menggunakan perintah pfctl. Sebagai contoh:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Perhatikan bahwa blacklistctlmasih akan menampilkan IP yang diblokir! Ini adalah perilaku normal dan mudah-mudahan akan dihapus di rilis mendatang.