FreeBSD 11.1 Üzerinde Blacklistd Kurulumu

• Giriş
• Adım 1: PF (Güvenlik Duvarı)
• Adım 2: Kara Liste
• Adım 3: SSH
• Son adım

Giriş

İnternete bağlı herhangi bir hizmet, kaba kuvvet saldırıları veya yetkisiz erişim için potansiyel bir hedeftir. fail2banVeya gibi araçlar vardır sshguard, ancak bunlar yalnızca günlük dosyalarını ayrıştırdıkları için işlevsel olarak sınırlıdır. Blacklistd farklı bir yaklaşım benimser. SSH gibi değiştirilmiş cinler, yeni güvenlik duvarı kuralları eklemek için doğrudan kara listeye bağlanabilir.

Adım 1: PF (Güvenlik Duvarı)

Çapa bir kurallar derlemesidir ve KM yapılandırmamızda bir taneye ihtiyacımız vardır. Minimal bir kural kümesi oluşturmak için, /etc/pf.confaşağıdaki gibi görünecek şekilde düzenleyin :

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

Şimdi PFotomatik olarak başlamayı etkinleştir , /etc/rc.conf dosyasını düzenle:

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

Ancak, ilk önce yapmak isteyebileceğiniz başka bir şey daha vardır: her şeyin doğru olduğundan emin olmak için kurallarınızı test edin. Bunun için aşağıdaki komutu kullanın:

pfctl -vnf /etc/pf.conf

Bu komut hata bildirirse, geri dönün ve önce bunları düzeltin!

Sunucuyu şimdi yeniden başlatarak her şeyin beklendiği gibi çalıştığından emin olmak iyi bir fikirdir: shutdown -r now

Adım 2: Kara Liste

IP'ler 24 saat süreyle engellenir. Bu varsayılan değerdir ve şu şekilde değiştirilebilir /etc/blacklistd:

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

Düzenleme /etc/rc.confBlacklistd etkinleştirmek için:

blacklistd_enable="YES"
blacklistd_flags="-r"

Blacklistd uygulamasını aşağıdaki komutla başlatın:

service blacklistd start

Adım 3: SSH

Yapmamız gereken son bir şey sshdbildirmektir blacklistd. Ekle UseBlacklist yessizin için /etc/ssh/sshd_configdosyanın. Şimdi SSH'yi ile yeniden başlatın service sshd restart.

Son adım

Son olarak, sunucunuza geçersiz bir parola ile giriş yapmayı deneyin.

Engellenen tüm IP'leri almak için aşağıdaki komutlardan birini kullanın:

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

Engellenen bir IP'yi kaldırmak için komutu kullanmanız gerekir pfctl. Örneğin:

pfctl -a blacklistd/22 -t port22 -T delete <IP>

blacklistctlIP'nin yine de engellenmiş olarak gösterileceğini unutmayın ! Bu normal bir davranıştır ve umarım gelecekteki sürümlerde kaldırılacaktır.