使用OpenBSD在Vultr上配置BGP
Vultrs BGP功能使您可以拥有自己的IP空间并在我们的任何位置使用它,而OpenBSD实例则不需要其他软件!
如何使用PF防火墙保护FreeBSD
本教程将向您展示如何使用OpenBSD PF防火墙保护FreeBSD服务器。我们将假定您具有由Vultr部署的全新FreeBSD安装,没有添加用户。除了防火墙配置外,我们还将做其他一些事情,这也将增强FreeBSD服务器的安全性。在配置防火墙之前,我们将安装一些软件包,因为默认的FreeBSD安装附带了最少的工具和软件包集(是正确的),以使我们的工作更轻松。
FreeBSD中的默认shell是/bin/sh。这是基本的外壳程序,没有自动完成功能。我们将使用更好的东西。我们将安装zsh。
首先,安装以下软件包:
# pkg install zsh gnuls
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait...
...
GNULS是lsLinux中的程序。我们只想ls在Linux和FreeBSD中使用相同的命令。
向系统添加普通用户:(用您的用户名替换john,不要忘记将用户添加到wheel组)
# adduser
Username: john
Full name: John Doe
Uid (Leave empty for default):
Login group [john]:
Login group is john. Invite john into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh zsh rzsh nologin) [sh]: zsh
Home directory [/home/john]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : john
Password : *****
Full Name : John Doe
Uid : 1001
Class :
Groups : john wheel
Home : /home/john
Home Mode :
Shell : /usr/local/bin/zsh
Locked : no
OK? (yes/no): yes
adduser: INFO: Successfully added (john) to the user database.
Add another user? (yes/no): no
Goodbye!
创建zsh配置文件:
# ee /home/your-username/.zshrc
将此复制到您的.zshrc文件:
PS1="<%U%m%u>$[%B%1~%b]%(#.#.$) "
bindkey -e
alias su='su -m'
alias du='du -h -d0'
alias df='df -h'
alias l=less
alias ll='gnuls --color=always -l'
alias ls='gnuls --color=always'
alias pkg_ver='pkg version -v -l "<" | > upgrade'
export EDITOR=ee
autoload -U colors && colors
autoload -U promptinit && promptinit
autoload -U compinit && compinit
# History settings
SAVEHIST=1000
HISTSIZE=1000
HISTFILE=~/.history
setopt histignoredups appendhistory
运行此命令:(用您的用户名替换john)
chown john:john /home/john/.zshrc
现在,使用您的用户名登录FreeBSD服务器并更改默认的root密码:
<vultr>[~]$ su
Password:
<vultr>[~]# passwd
Changing local password for root
New Password:
Retype New Password:
<vultr>[~]#
我们不需要sendmail。停止并禁用此服务:
<vultr>[~]# /etc/rc.d/sendmail stop
Stopping sendmail.
Waiting for PIDS: 7843.
sendmail_submit not running? (check /var/run/sendmail.pid).
Stopping sendmail_msp_queue.
Waiting for PIDS: 7846.
接下来,我们将rc.conf文件更改为更自然:
# ee /etc/rc.conf
将其更改为如下所示:
#----------- NETWORKING ------------------------------------------------#
hostname="ceph.domain1.com" # replace ceph.domain1.com with your domain
ifconfig_vtnet0="dhcp"
static_routes=linklocal
route_linklocal="-net 169.254.0.0/16 -interface vtnet0"
#--------- SERVICES BSD LOCAL ----------------------------------------#
sshd_enable="YES"
ntpd_enable="YES"
#pf_enable="YES"
#pf_rules="/etc/firewall"
#pf_flags=""
#pflog_enable="YES"
#pflog_logfile="/var/log/pflog"
#pflog_flags=""
sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
编辑/etc/hosts文件:
# ee /etc/hosts
添加您的IP地址和主机名:
::1 localhost localhost.ceph ceph
127.0.0.1 localhost localhost.ceph ceph
108.61.178.110 ceph.domain1.com ceph
设置时区:
# bsdconfig
只要有可能,请禁用root用户的远程访问。大多数SSH攻击都会尝试通过root用户帐户进行访问。始终使用您的用户名连接,然后再suroot。只有该wheel组中的用户su才能root。因此,我们将用户添加到了车轮组。
禁用root登录:
# ee /etc/ssh/sshd_config
取消注释此行:
PermitRootLogin no
重启:
# reboot
重新启动完成后,您将在Vultr控制台中看到以下消息:
time correction of 3600 seconds exceeds sanity limit (1000); set clock manually to
correct UTC time.
这就是为什么我们需要手动更正时钟。首先遵循以下命令su:
$ su
Password:
# ntpdate 0.europe.pool.ntp.org
现在,我们将配置防火墙。OpenBSD PF包含在FreeBSD内核中,因此您无需安装任何软件包。
使用ee编辑器,创建文件/etc/firewall:
# ee /etc/firewall
插入以下内容:(用您的替换所有IP地址)
#######################################################################
me="vtnet0"
table <bruteforcers> persist
table <trusted> persist file "/etc/trusted"
icmp_types = "echoreq"
junk_ports="{ 135,137,138,139,445,68,67,3222 }"
junk_ip="224.0.0.0/4"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
# ---- First rule obligatory "Pass all on loopback"
pass quick on lo0 all
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
# ---- Second rule "Block all in and pass all out"
block in log all
pass out all keep state
############### FIREWALL ###############################################
# ---- Allow all traffic from my Home
pass quick proto {tcp, udp} from 1.2.3.4 to $me keep state
# ---- block SMTP out
block quick proto tcp from $me to any port 25
# ---- Allow incoming Web traffic
pass quick proto tcp from any to $me port { 80, 443 } flags S/SA keep state
# ---- Allow my team member SSH access
pass quick proto tcp from 1.2.3.5 to $me port ssh flags S/SA keep state
# ---- Block bruteforcers
block log quick from <bruteforcers>
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
# ---- Allow ICMP
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
创建/etc/trusted文件。在此文件中,我们将放置我们“信任”的IP。
# ee /etc/trusted
添加一些IP:
# Hosting
1.2.0.0/16
# My friends
1.2.4.0/24
现在一些解释。垃圾端口和垃圾IP只是我们不想在日志中看到的一些端口/ IP。我们使用以下规则完成此操作:
# ---- Block junk logs
block quick proto { tcp, udp } from any to $junk_ip
block quick proto { tcp, udp } from any to any port $junk_ports
这些只是默认值,您不必担心:
icmp_types = "echoreq"
set loginterface vtnet0
scrub on vtnet0 reassemble tcp no-df random-id
pass quick on lo0 all
block in log all
pass out all keep state
此规则阻止来自服务器的传出SMTP通信(这是Vultr的默认设置)。
# ---- block SMTP out
block quick proto tcp from $me to any port 25
除了bruteforcers其余的一切都非常简单。
# ---- Allow SSH from trusted sources, but block bruteforcers
pass quick proto tcp from <trusted> to $me port ssh \
flags S/SA keep state \
(max-src-conn 10, max-src-conn-rate 20/60, \
overload <bruteforcers> flush global)
Bruteforcers只是说:允许从<trusted> IP到端口22,但一个源IP只能建立10个并发连接。如果大于10,则阻止该IP并将其放入表暴力破解程序中。20/60规则也是如此。这意味着在60秒内最多20个连接。
启用防火墙:
# ee /etc/rc.conf
取消注释以下行:
pf_enable="YES"
pf_rules="/etc/firewall"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
重启:
# reboot
如果您做对了所有事情,那么您将能够登录并启用防火墙。您不必在每次更改/etc/firewall文件时都重新启动。做就是了:
# /etc/rc.d/pf reload
查看谁正在尝试实时连接到您的服务器:
# tcpdump -n -e -ttt -i pflog0
显示历史记录:
# tcpdump -n -e -ttt -r /var/log/pflog
查看您是否在bruteforcers表中有人:
# pfctl -t bruteforcers -T show
就是这样。您已经在FreeBSD服务器上成功实现了PF防火墙!
如何在FreeBSD 12上使用Pkg软件包管理器
简介FreeBSD是一种类似于Unix的开源操作系统,用于为现代服务器,台式机和嵌入式平台提供动力。Netflix,雅虎等巨人!
FreeBSD的Vultr块存储
本文中的信息涉及修改磁盘,分区和文件系统,因此在执行任何示例之前,应先完全理解它们,因为它们会导致数据丢失或丢失。
如何在FreeBSD 11 FAMP VPS上安装Omeka Classic 2.4 CMS
使用其他系统?Omeka Classic 2.4 CMS是一个免费的开源数字发布平台和用于共享数字内容的内容管理系统(CMS)
如何在Debian,CentOS和FreeBSD上使用Sudo
在Linux和Unix系统管理员中,使用sudo用户访问服务器并在root级执行命令是一种非常普遍的做法。使用泡沫
如何在FreeBSD 12上安装osTicket
使用其他系统?osTicket是一个开放源代码的客户支持票务系统。osTicket源代码公开托管在Github上。在本教程中
如何在FreeBSD 12上安装Dolibarr
使用其他系统?Dolibarr是面向企业的开源企业资源计划(ERP)和客户关系管理(CRM)。多利巴尔
在OpenBSD 6上设置Ghost Professional发布平台
Ghost是与WordPress竞争的最新,最大的暴发户。主题开发既快速又容易学习,因为Ghost开发人员决定同时使用
如何在FreeBSD 12上安装Monica
使用其他系统?Monica是一个开源的个人关系管理系统。可以将其视为CRM(销售团队使用的一种流行工具
如何在FreeBSD 11 FAMP VPS上安装Couch CMS 2.0
使用其他系统?Couch CMS是一个简单,灵活,免费和开源的内容管理系统(CMS),可让Web设计人员进行设计
如何在FreeBSD 12上安装LimeSurvey CE
使用其他系统?LimeSurvey是一个用PHP编写的开源调查软件。LimeSurvey源代码托管在GitHub上。本指南将向您展示
如何在FreeBSD 12的Nginx中启用TLS 1.3
使用其他系统?TLS 1.3是传输层安全性(TLS)协议的版本,该协议于2018年作为RFC 8446中的建议标准发布
如何在FreeBSD 12上安装MyBB
使用其他系统?MyBB是一个免费,开放源代码,直观且可扩展的论坛程序。MyBB源代码托管在GitHub上。本指南将
使用Prosody和FreeBSD设置XMPP服务器
尽管ejabberd非常普遍,但最近有一个竞争对手-Prosody。本教程将向您展示如何在FreeBS上设置Prosody
用Poudriere建立自己的Pkg存储库
从9.2版开始,FreeBSD引入了一个新工具来替换旧的pkg _ *-命令-pkg,也称为pkgng。它非常类似于Debians apt o
如何在FreeBSD 11上安装Matomo Analytics
使用其他系统?Matomo(以前称为Piwik)是一个开源分析平台,是Google Analytics(分析)的一种开放替代方案。Matomo源托管o
如何在FreeBSD 11 FAMP VPS上安装ProcessWire CMS 3.0
使用其他系统?ProcessWire CMS 3.0是一个简单,灵活,功能强大,免费和开源的内容管理系统(CMS)。ProcessWire CMS 3。
如何在FreeBSD 12的Apache中启用TLS 1.3
使用其他系统?TLS 1.3是传输层安全性(TLS)协议的版本,该协议于2018年作为RFC 8446中的建议标准发布
如何在FreeBSD 11 FAMP VPS上安装Redaxscript 3.2 CMS
使用其他系统?Redaxscript 3.2 CMS是一款现代,超轻量级,免费和开源的内容管理系统(CMS),具有火箭fas
如何在FreeBSD 12上安装BookStack
使用其他系统?简介BookStack是一个简单的,自托管的易于使用的平台,用于组织和存储信息。BookStack已满
在Arch Linux上使用Makepkg
在Arch Linux上使用Makepkg可以避免系统污染,确保仅安装必要的依赖关系。
如何在Ubuntu 16.04上安装OpenSIPS控制面板
快速学习如何在Ubuntu 16.04上安装OpenSIPS控制面板,为VoIP提供商提供支持的功能。
在Fedora 28上安装Akaunting
学习如何在Fedora 28上安装Akaunting,一款适合小型企业和自由职业者的开源会计软件。
如何在CentOS 7上安装Mailtrain新闻通讯应用程序
使用其他系统?Mailtrain是一个基于Node.js和MySQL / MariaDB构建的开源自托管新闻通讯应用程序。
诊断Minecraft服务器延迟和低TPS
了解導致Minecraft延遲的原因和解決方案,包括優化伺服器性能和減少滯後的步驟。
AI 能否應對越來越多的勒索軟件攻擊?
勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根
ReactOS:這是 Windows 的未來嗎?
ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。
通過 WhatsApp 桌面應用程序 24*7 保持聯繫
Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+
人工智能如何將流程自動化提升到新的水平?
閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。
macOS Catalina 10.15.4 補充更新引發的問題多於解決
最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息