Hoe Blacklistd op FreeBSD 11.1 te installeren

• Invoering
• Stap 1: PF (Firewall)
• Stap 2: Blacklistd
• Stap 3: SSH
• Laatste stap

Invoering

Elke service die is verbonden met internet is een potentieel doelwit voor brute-force-aanvallen of ongerechtvaardigde toegang. Er zijn tools zoals fail2banof sshguard, maar deze zijn functioneel beperkt omdat ze alleen logbestanden parseren. Blacklistd heeft een andere aanpak. Gewijzigde daemons zoals SSH kunnen rechtstreeks verbinding maken met blacklistd om nieuwe firewallregels toe te voegen.

Stap 1: PF (Firewall)

Een anker is een verzameling regels en we hebben er een nodig in onze PF-configuratie. Om een ​​minimale regelset te maken, bewerk het /etc/pf.confzodat het er zo uitziet:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Schakel nu in PFom automatisch te starten, bewerk /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Er is echter nog een extra ding dat u misschien eerst wilt doen: test uw regels om er zeker van te zijn dat alles correct is. Gebruik hiervoor de volgende opdracht:

pfctl -vnf /etc/pf.conf

Als deze opdracht fouten meldt, ga dan terug en herstel deze eerst!

Het is een goed idee om ervoor te zorgen dat alles naar behoren werkt door de server nu opnieuw op te starten: shutdown -r now

Stap 2: Blacklistd

IP's worden gedurende 24 uur geblokkeerd. Dit is de standaardwaarde en kan worden gewijzigd in /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Bewerken /etc/rc.confom Blacklistd in te schakelen:

blacklistd_enable="YES"
blacklistd_flags="-r"

Start Blacklistd met de volgende opdracht:

service blacklistd start

Stap 3: SSH

Een laatste ding dat we moeten doen, is vertellen dat we het moeten sshdmelden blacklistd. Voeg toe UseBlacklist yesaan je /etc/ssh/sshd_configbestand. Start nu SSH opnieuw op met service sshd restart.

Laatste stap

Probeer ten slotte in te loggen op uw server met een ongeldig wachtwoord.

Gebruik een van de volgende opdrachten om alle geblokkeerde IP's op te halen:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Om een ​​geblokkeerd IP-adres te verwijderen, moet u de opdracht gebruiken pfctl. Bijvoorbeeld:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Merk op dat blacklistctlhet IP-adres nog steeds wordt weergegeven als geblokkeerd! Dit is normaal gedrag en zal hopelijk in toekomstige releases worden verwijderd.