Jak zainstalować Blacklistd na FreeBSD 11.1

• Wprowadzenie
• Krok 1: PF (zapora ogniowa)
• Krok 2: Czarna lista
• Krok 3: SSH
• Ostatni krok

Wprowadzenie

Każda usługa podłączona do Internetu jest potencjalnym celem ataków siłowych lub nieuzasadnionego dostępu. Istnieją narzędzia takie jak fail2banlub sshguard, ale są one funkcjonalnie ograniczone, ponieważ przetwarzają tylko pliki dziennika. Czarna lista ma inne podejście. Zmodyfikowane demony, takie jak SSH, mogą łączyć się bezpośrednio z czarną listą, aby dodać nowe reguły zapory.

Krok 1: PF (zapora ogniowa)

Kotwica jest zbiorem reguł i potrzebujemy jej w naszej konfiguracji PF. Aby utworzyć minimalny zestaw reguł, edytuj /etc/pf.confgo tak, aby wyglądał następująco:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Teraz włącz PFautomatyczne uruchamianie, edytuj /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Jest jednak jeszcze jedna rzecz, którą możesz zrobić najpierw: przetestuj swoje reguły, aby upewnić się, że wszystko jest w porządku. W tym celu użyj następującego polecenia:

pfctl -vnf /etc/pf.conf

Jeśli to polecenie zgłasza błędy, wróć i napraw je najpierw!

Ponownie uruchom serwer teraz, aby upewnić się, że wszystko działa zgodnie z oczekiwaniami: shutdown -r now

Krok 2: Czarna lista

Adresy IP są blokowane przez 24 godziny. Jest to wartość domyślna, którą można zmienić w /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Edytuj, /etc/rc.confaby włączyć Czarną listę:

blacklistd_enable="YES"
blacklistd_flags="-r"

Uruchom czarną listę za pomocą następującego polecenia:

service blacklistd start

Krok 3: SSH

Ostatnią rzeczą, którą musimy zrobić, to sshdpowiadomić blacklistd. Dodaj UseBlacklist yesdo swojego /etc/ssh/sshd_configpliku. Teraz uruchom ponownie SSH za pomocą service sshd restart.

Ostatni krok

Na koniec spróbuj zalogować się na serwerze za pomocą niepoprawnego hasła.

Aby uzyskać wszystkie zablokowane adresy IP, użyj jednego z następujących poleceń:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Aby usunąć zablokowane IP, musisz użyć polecenia pfctl. Na przykład:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Pamiętaj, że blacklistctlnadal będzie wyświetlać adres IP jako zablokowany! Jest to normalne zachowanie i, mam nadzieję, zostanie usunięte w przyszłych wydaniach.