Cara Mengamankan FreeBSD dengan PF Firewall

Tutorial ini akan menunjukkan kepada Anda bagaimana melindungi server FreeBSD Anda menggunakan firewall OpenBSD PF. Kami akan menganggap bahwa Anda memiliki instalasi FreeBSD yang bersih yang digunakan oleh Vultr tanpa ada pengguna yang ditambahkan. Kami akan melakukan beberapa hal lain di samping konfigurasi Firewall yang juga akan memperkeras keamanan server FreeBSD kami. Sebelum konfigurasi firewall, kami akan menginstal beberapa paket karena instalasi FreeBSD default disertai dengan sekumpulan alat dan paket minimal (yang benar), untuk memudahkan kami bekerja.

Shell default di FreeBSD adalah /bin/sh. Ini adalah shell dasar tanpa fungsi pelengkap otomatis. Kami akan menggunakan sesuatu yang lebih baik. Kami akan menginstal zsh.

Pertama, instal paket-paket ini:

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS adalah lsprogram dari Linux. Kami hanya ingin memiliki lsperintah yang sama di Linux dan FreeBSD.

Tambahkan pengguna normal ke sistem: (ganti john dengan nama pengguna Anda dan jangan lupa menambahkan pengguna ke grup wheel)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

Buat file konfigurasi zsh:

# ee /home/your-username/.zshrc

Salin ini ke file .zshrc Anda:

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

Jalankan perintah ini: (ganti john dengan nama pengguna Anda)

chown john:john /home/john/.zshrc

Sekarang, masuk ke server FreeBSD dengan nama pengguna Anda dan ubah kata sandi root default:

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

Kami tidak perlu sendmail. Hentikan dan nonaktifkan layanan ini:

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

Selanjutnya, kami akan mengubah file rc.conf kami agar terlihat lebih alami:

# ee /etc/rc.conf

Ubah agar terlihat seperti ini:

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Edit /etc/hostsfile:

# ee /etc/hosts

Tambahkan alamat IP dan nama host Anda:

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

Tetapkan zona waktu:

# bsdconfig

Kapan pun Anda bisa, nonaktifkan akses jarak jauh untuk pengguna root. Sebagian besar serangan terhadap SSH akan mencoba mengakses melalui akun pengguna root. Selalu terhubung dengan nama pengguna Anda dan kemudian surooting. Hanya pengguna dari wheelgrup yang dapat sumelakukan rooting. Itu sebabnya kami menambahkan pengguna kami ke grup roda.

Nonaktifkan login root:

# ee /etc/ssh/sshd_config

Batalkan komentar pada baris ini:

PermitRootLogin no

Mulai ulang:

# reboot

Setelah reboot selesai, Anda akan melihat pesan seperti ini di konsol Vultr:

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

Itu sebabnya kita perlu memperbaiki jam secara manual. Ikuti perintah ini, pertama suuntuk me-root:

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

Sekarang, kita akan mengkonfigurasi firewall. OpenBSD PF termasuk dalam kernel FreeBSD, jadi Anda tidak perlu menginstal paket apa pun.

Dengan eeeditor, buat file /etc/firewall:

# ee /etc/firewall

Masukkan ini: (ganti semua alamat IP dengan milik Anda)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

Buat /etc/trustedfile. Dalam file ini, kami akan menempatkan IP yang kami "percayai".

# ee /etc/trusted

Tambahkan beberapa IP:

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

Sekarang beberapa penjelasan. Junk ports dan IP sampah hanya beberapa port / IP yang tidak ingin kita lihat di log. Kami telah melakukan ini dengan aturan ini:

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

Ini hanya default dan Anda tidak perlu khawatir tentang hal itu:

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

Aturan ini memblokir lalu lintas SMTP keluar dari server Anda (yang merupakan default pada Vultr).

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

Kecuali bruteforcerssisanya cukup lurus ke depan.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers hanya mengatakan: Izinkan dari IP <trusted> ke port 22 tetapi hanya 10 koneksi bersamaan dapat dibuat dari satu IP sumber. Jika lebih dari 10, blokir IP ini dan masukkan ke bruteforcers tabel. Hal yang sama berlaku untuk aturan 20/60. Itu berarti maksimal 20 koneksi dalam 60 detik.

Aktifkan firewall:

# ee /etc/rc.conf

Batalkan komentar pada baris ini:

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

Mulai ulang:

# reboot 

Jika Anda telah melakukan semuanya dengan benar, maka Anda akan dapat masuk dan firewall akan diaktifkan. Anda tidak harus memulai ulang setiap kali Anda mengubah /etc/firewallfile. Kerjakan saja:

# /etc/rc.d/pf reload

Lihat siapa yang mencoba terhubung ke server Anda secara real-time:

# tcpdump -n -e -ttt -i pflog0

Tampilkan riwayat:

# tcpdump -n -e -ttt -r /var/log/pflog

Lihat apakah Anda memiliki seseorang di meja bruteforcers:

# pfctl -t bruteforcers -T show

Dan itu saja. Anda telah berhasil menerapkan firewall PF di server FreeBSD!