Cum se instalează Blacklistd pe FreeBSD 11.1

• Introducere
• Pasul 1: PF (Firewall)
• Pasul 2: Lista neagră
• Pasul 3: SSH
• Ultimul pas

Introducere

Orice serviciu conectat la internet este o potențială țintă pentru atacuri de forță brută sau acces nejustificat. Există instrumente precum fail2bansau sshguard, dar acestea sunt limitate funcțional, deoarece acestea analizează doar fișierele jurnal. Blacklistd adoptă o abordare diferită. Daemon-urile modificate precum SSH se pot conecta direct la blacklistd pentru a adăuga noi reguli pentru firewall.

Pasul 1: PF (Firewall)

O ancoră este o colecție de reguli și avem nevoie de una în configurația PF. Pentru a crea un set de reguli minim, modificați /etc/pf.confastfel încât să arate astfel:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Acum permiteți PFpornirea automată, editați /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Cu toate acestea, mai este posibil să doriți să faceți mai întâi: testați-vă regulile pentru a vă asigura că totul este corect. Pentru aceasta, utilizați următoarea comandă:

pfctl -vnf /etc/pf.conf

Dacă această comandă raportează erori, întoarce-te și remediază-le mai întâi!

Este o idee bună să vă asigurați că totul funcționează așa cum este de așteptat prin repornirea serverului acum: shutdown -r now

Pasul 2: Lista neagră

IP-urile sunt blocate 24 de ore. Aceasta este valoarea implicită și poate fi modificată în /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Editați /etc/rc.confpentru a activa Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Porniți Blacklistd cu următoarea comandă:

service blacklistd start

Pasul 3: SSH

Un ultim lucru pe care trebuie să-l facem este să spunem sshdsă notificăm blacklistd. Adăugați UseBlacklist yesla /etc/ssh/sshd_configfișierul dvs. Acum reporniți SSH cu service sshd restart.

Ultimul pas

În cele din urmă, încercați să vă conectați la serverul dvs. cu o parolă nevalidă.

Pentru a obține toate IP-urile blocate, utilizați una dintre următoarele comenzi:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Pentru a elimina un IP blocat, trebuie să utilizați comanda pfctl. De exemplu:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Rețineți că blacklistctlva afișa IP-ul ca blocat! Acesta este un comportament normal și sperăm să fie eliminat în versiunile viitoare.