Как установить Blacklistd на FreeBSD 11.1

• Вступление
• Шаг 1: PF (брандмауэр)
• Шаг 2: Черный список
• Шаг 3: SSH
• Последний шаг

Вступление

Любая служба, подключенная к Интернету, является потенциальной целью для атак методом перебора или несанкционированного доступа. Есть такие инструменты, как fail2banили sshguard, но они функционально ограничены, потому что они только анализируют файлы журнала. Черный список использует другой подход. Модифицированные демоны, такие как SSH, могут напрямую подключаться к blacklistd для добавления новых правил брандмауэра.

Шаг 1: PF (брандмауэр)

Якорь - это набор правил, который нам нужен в нашей конфигурации PF. Чтобы создать минимальный набор правил, отредактируйте /etc/pf.confего так:

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Теперь включите PFавтоматический запуск, отредактируйте /etc/rc.conf:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Тем не менее, есть еще одна вещь, которую вы можете сделать в первую очередь: проверить свои правила, чтобы убедиться, что все правильно. Для этого используйте следующую команду:

pfctl -vnf /etc/pf.conf

Если эта команда сообщает об ошибках, вернитесь назад и исправьте их в первую очередь!

Хорошая идея убедиться, что все работает, как и ожидалось, перезагрузив сервер сейчас: shutdown -r now

Шаг 2: Черный список

IP заблокированы на 24 часа. Это значение по умолчанию и может быть изменено в /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Изменить, /etc/rc.confчтобы включить Blacklistd:

blacklistd_enable="YES"
blacklistd_flags="-r"

Запустите Blacklistd с помощью следующей команды:

service blacklistd start

Шаг 3: SSH

Последнее, что нам нужно сделать, это сказать, sshdчтобы уведомить blacklistd. Добавьте UseBlacklist yesв свой /etc/ssh/sshd_configфайл. Теперь перезапустите SSH с service sshd restart.

Последний шаг

Наконец, попробуйте войти на свой сервер с неверным паролем.

Чтобы получить все заблокированные IP-адреса, используйте одну из следующих команд:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Чтобы удалить заблокированный IP-адрес, вы должны использовать команду pfctl. Например:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

Обратите внимание, что blacklistctlIP-адрес по-прежнему будет заблокирован! Это нормальное поведение и, будем надеяться, будет удалено в будущих выпусках.