Cara Memasang Blacklistd pada FreeBSD 11.1

• Pengenalan
• Langkah 1: PF (Firewall)
• Langkah 2: Senarai Hitam
• Langkah 3: SSH
• Langkah terakhir

Pengenalan

Sebarang perkhidmatan yang disambungkan ke internet adalah potensi sasaran serangan brute-force atau akses yang tidak dibenarkan. Terdapat alat seperti fail2banatau sshguard, tetapi fungsi ini terhad kerana hanya menguraikan fail log. Blacklistd mengambil pendekatan yang berbeza. Daemon yang diubahsuai seperti SSH dapat menyambung terus ke blacklistd untuk menambahkan peraturan firewall baru.

Langkah 1: PF (Firewall)

Sauh adalah sekumpulan peraturan dan kami memerlukannya dalam konfigurasi PF kami. Untuk membuat set peraturan minimum, edit /etc/pf.confsehingga kelihatan seperti ini:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Sekarang aktifkan PFuntuk memulakan secara automatik, edit /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Namun, ada satu perkara tambahan yang mungkin anda ingin lakukan terlebih dahulu: uji peraturan anda untuk memastikan semuanya betul. Untuk ini, gunakan arahan berikut:

pfctl -vnf /etc/pf.conf

Sekiranya arahan ini melaporkan kesilapan, kembali dan perbaiki yang pertama!

Adalah idea yang baik untuk memastikan semuanya berfungsi seperti yang diharapkan dengan menghidupkan semula pelayan sekarang: shutdown -r now

Langkah 2: Senarai Hitam

IP disekat selama 24 jam. Ini adalah nilai lalai dan boleh diubah dalam /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Edit /etc/rc.confuntuk mengaktifkan Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Mulakan Blacklistd dengan arahan berikut:

service blacklistd start

Langkah 3: SSH

Satu perkara terakhir yang perlu kita lakukan ialah memberitahu sshduntuk memberitahu blacklistd. Tambahkan UseBlacklist yeske /etc/ssh/sshd_configfail anda . Sekarang mulakan semula SSH dengan service sshd restart.

Langkah terakhir

Akhirnya, cuba log masuk ke pelayan anda dengan kata laluan yang tidak sah.

Untuk mendapatkan semua IP yang disekat, gunakan salah satu arahan berikut:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Untuk membuang IP yang disekat anda mesti menggunakan arahan pfctl. Sebagai contoh:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Perhatikan bahawa blacklistctlmasih akan menunjukkan IP sebagai disekat! Ini adalah tingkah laku biasa dan diharapkan dapat dikeluarkan dalam siaran masa depan.