PF 방화벽으로 FreeBSD를 보호하는 방법

이 튜토리얼은 OpenBSD PF 방화벽을 사용하여 FreeBSD 서버를 보호하는 방법을 보여줍니다. 사용자가 추가되지 않은 상태로 Vultr에 의해 배포 된 FreeBSD 설치가 있다고 가정합니다. 방화벽 설정 이외에도 FreeBSD 서버의 보안을 강화하는 다른 작업을 수행 할 것입니다. 방화벽을 설정하기 전에 기본 FreeBSD 설치에는 최소한의 도구와 패키지 세트 (올바른)가 포함되어 있기 때문에 일부 패키지를 설치하여 작업하기 쉽도록합니다.

FreeBSD의 기본 쉘은 /bin/sh입니다. 자동 완성 기능이없는 기본 쉘입니다. 우리는 더 나은 것을 사용할 것입니다. 설치하겠습니다 zsh.

먼저 다음 패키지를 설치하십시오.

# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...

GNULS는 lsLinux 의 프로그램입니다. 우리 ls는 Linux와 FreeBSD에서 같은 명령을 원합니다 .

시스템에 일반 사용자 추가 : (john을 사용자 이름으로 바꾸고 휠 그룹에 사용자를 추가하는 것을 잊지 마십시오)

# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default): 
Login group [john]: 
Login group is john. Invite john into other groups? []: wheel
Login class [default]: 
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]: 
Home directory permissions (Leave empty for default): 
Use password-based authentication? [yes]: 
Use an empty password? (yes/no) [no]: 
Use a random password? (yes/no) [no]: 
Enter password: 
Enter password again: 
Lock out the account after creation? [no]: 
Username   : john
Password   : *****
Full Name  : John Doe
Uid        : 1001
Class      : 
Groups     : john wheel
Home       : /home/john
Home Mode  : 
Shell      : /usr/local/bin/zsh
Locked     : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!

zsh 구성 파일을 작성하십시오.

# ee /home/your-username/.zshrc

이것을 .zshrc 파일로 복사하십시오.

PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "

bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'

export EDITOR=ee

autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit

# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory

다음 명령을 실행하십시오 : (john을 사용자 이름으로 바꾸십시오)

chown john:john /home/john/.zshrc

이제 사용자 이름으로 FreeBSD 서버에 로그인하고 기본 루트 비밀번호를 변경하십시오 :

<vultr>[~]$ su
Password:
<vultr>[~]# passwd 
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]# 

sendmail은 필요하지 않습니다. 이 서비스를 중지하고 비활성화하십시오.

<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.

다음으로 rc.conf 파일을보다 자연스럽게 변경합니다 :

# ee /etc/rc.conf

다음과 같이 변경하십시오.

#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"

#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"

#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"              
#pflog_logfile="/var/log/pflog"  
#pflog_flags=""    

sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

/etc/hosts파일 편집 :

# ee /etc/hosts

IP 주소와 호스트 이름을 추가하십시오 :

::1                     localhost localhost.ceph ceph
127.0.0.1               localhost localhost.ceph ceph
108.61.178.110          ceph.domain1.com       ceph

시간대 설정 :

# bsdconfig

가능하면 루트 사용자에 대한 원격 액세스를 비활성화하십시오. SSH에 대한 대부분의 공격은 루트 사용자 계정을 통해 액세스를 시도합니다. 항상 사용자 이름으로 연결 한 다음 su루트로 연결하십시오 . wheel그룹의 사용자 만 루팅 할 수 있습니다 su. 우리가 휠 그룹에 사용자를 추가 한 이유입니다.

루트 로그인 비활성화 :

# ee /etc/ssh/sshd_config

이 줄의 주석을 해제하십시오.

PermitRootLogin no

재부팅 :

# reboot

재부팅이 완료되면 Vultr 콘솔에 다음과 같은 메시지가 나타납니다.

time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.

그렇기 때문에 시계를 수동으로 수정해야합니다. 먼저 다음 명령을 따르십시오 su.

$ su
Password:
# ntpdate 0.europe.pool.ntp.org

이제 방화벽을 구성하겠습니다. OpenBSD PF는 FreeBSD 커널에 포함되어 있으므로 패키지를 설치할 필요가 없습니다.

로 ee편집기, 파일을 생성 /etc/firewall:

# ee /etc/firewall

이것을 삽입하십시오 : (당신의 IP 주소를 대체하십시오)

#######################################################################
me="vtnet0"                
table <bruteforcers> persist    
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"          
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"           

set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id

# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all           

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

# ---- Second rule "Block all in and pass all out"
block in log all                
pass out all keep state         

############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state

# ---- Allow my team member SSH access 
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state

# ---- Block bruteforcers
block log quick from <bruteforcers>

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

# ---- Allow ICMP 
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

/etc/trusted파일을 작성 하십시오. 이 파일에서는 "신뢰할 수있는"IP를 넣습니다.

# ee /etc/trusted

일부 IP를 추가하십시오.

# Hosting
1.2.0.0/16

# My friends
1.2.4.0/24

이제 몇 가지 설명입니다. 정크 포트와 정크 IP는 로그에서보고 싶지 않은 일부 포트 / IP입니다. 이 규칙을 사용하여이 작업을 수행했습니다.

# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip 
block quick proto { tcp, udp } from any to any port $junk_ports

이것들은 단지 기본값이며 걱정할 필요가 없습니다.

icmp_types = "echoreq"                                            
set loginterface vtnet0           
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all                
pass out all keep state

이 규칙은 서버 (Vultr의 기본값)에서 나가는 SMTP 트래픽을 차단합니다.

# ---- block SMTP out 
block quick proto tcp from $me to any port 25

를 제외하고 bruteforcers나머지는 꽤 똑바로 앞으로이다.

# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)

Bruteforcers는 다음과 같이 말합니다. <trusted> IP에서 포트 22로 허용하지만 하나의 소스 IP에서 10 개의 동시 연결 만 가능합니다. 10보다 큰 경우이 IP를 차단하고 테이블 무차별 대입 장치에 넣습니다. 20/60 규칙도 마찬가지입니다. 60 초 동안 최대 20 개의 연결을 의미합니다.

방화벽을 활성화하십시오 :

# ee /etc/rc.conf

다음 줄의 주석을 해제하십시오.

pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

재부팅 :

# reboot 

모든 것을 올바르게 수행했다면 로그인 할 수 있고 방화벽이 활성화됩니다. /etc/firewall파일 을 변경할 때마다 재부팅 할 필요는 없습니다 . 그냥 해:

# /etc/rc.d/pf reload

누가 실시간으로 서버에 연결하려고하는지 확인하십시오.

# tcpdump -n -e -ttt -i pflog0

역사 표시 :

# tcpdump -n -e -ttt -r /var/log/pflog

bruteforcers 테이블에 누군가가 있는지 확인하십시오.

# pfctl -t bruteforcers -T show

그리고 그게 다야. FreeBSD 서버에서 PF 방화벽을 성공적으로 구현했습니다!