Drošībai jebkurā operētājsistēmā vienmēr jābūt vienai no galvenajām telpām, par kuru jācīnās katru dienu, jo no tās ir atkarīgi vairāki elementi, piemēram, lietotāju faili, konfigurācijas, pakalpojumi un citi. Nepareiza drošības parametru konfigurācija ir saistīta ar ievainojamību, kas atstāj durvis atvērtas, lai uzbrucēji varētu brīvi piekļūt savu darbību veikšanai.
Viens no galvenajiem drošības mehānismiem ir saistīts ar sistēmas ugunsmūri, jo pateicoties tam ir iespējams filtrēt ienākošās un izejošās paketes no tīkla un izveidot dažādus noteikumus, lai uzlabotu gan sistēmas, gan tajā saglabāto lietojumprogrammu un objektu drošību l.
Tāpēc šodien Solvetic detalizēti paskaidros, kā konfigurēt ugunsmūri FreeBSD, izmantojot pf.
Kas ir pfPF (pakešu filtrs - pakešu filtrs) ir izstrādāts kā FreeBSD sistēmu ugunsmūra programmatūra, ar kuras palīdzību mēs varam izveidot simtiem noteikumu, kas ļauj daudz centralizētāk pārvaldīt visu sistēmas elementu piekļuvi un uzvedību.
Tagad mēs redzēsim, kā iespējot un konfigurēt pf FreeBSD.
1. Kā iespējot Linux ugunsmūri
Lai gan pf ir iebūvēts FreeBSD, mums ir jāpievieno šādas rindiņas failā /etc/rc.conf ar vēlamo redaktoru:
nano /etc/rc.confPievienojamās rindas ir šādas:
echo 'pf_enable = "JĀ"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "JĀ"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Kad šīs rindiņas ir pievienotas, mēs saglabājam izmaiņas, izmantojot taustiņus Ctrl + O, un izejam no redaktora, izmantojot taustiņu kombināciju Ctrl + X.
Mēs esam pievienojuši šādas rindas:
Iespējojiet PF pakalpojumu
pf_enable = "JĀ"
Ņemiet PF noteikumus no šī konkrētā faila
pf_rules = " / usr / local / etc / pf.conf"
Iespējot PF reģistrēšanas atbalstu
pflog_enable = "JĀ"
Attiecas uz failu, kurā pflogd jāglabā žurnāla fails
pflog_logfile = " / var / log / pflog"Tur žurnāli tiks saglabāti failā / var / log / pflog.
2. Kā izveidot noteikumus Linux /usr/local/etc/pf.conf failā
Kad iepriekšējās rindas ir pievienotas, mēs piekļūsim /usr/local/etc/pf.conf failam, lai izveidotu noteikumus, kas pf jāizlasa un kas tiks ņemti vērā, aizsargājot.
Mēs piekļūstam, izmantojot redaktoru:
nano /usr/local/etc/pf.confTā kā tas ir jauns fails, noteikumu iespējas ir tūkstošiem, šajā gadījumā mēs varam doties uz šo saiti un nokopēt kārtulu, kas attiecas uz tīmekļa serveri, un ielīmēt to mūsu konfigurācijas failā:
Tur mums jāņem vērā tīkla adaptera pārveidošana laukā ext_if, lai katrā gadījumā būtu pareizs.
Šajā failā mēs esam pievienojuši šādus noteikumus:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domēns, ntp, smtp, www, https, ftp}" int_udp_services = "{domēns, ntp} "set skip on loset loginterface $ ext_if # Normalizationscrub in all random-id fragment reassembleblock return in log allblock out allantispoof quick for $ ext_if # Bloķēt ātras ugunsgrēka brutālu spēku mēģinājumu stabilizējamu noturīgu bloķēšanu ātri no # ftp-proxy ir nepieciešams enkurs "ftp-proxy / *" # SSH klausās portā 26pass ātrā proto tcp līdz $ ext_if portam 26 saglabāt stāvokli (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp no jebkura uz $ ext_if port $ webports # Atļaut būtiskai izejošajai trafikam ātri pārsūtīt $ ext_if proto tcp uz jebkuru ostu $ int_tcp_servicesātri izvadīt $ ext_if proto udp uz jebkuru ostu $ int_udp_servicesIr svarīgi paturēt prātā, ka pf ir noteikta kārtība, lai izveidotu noteikumus, un tas ir:
MakroMakro ir jādefinē, pirms uz tiem atsaucas pf.conf
TabulasTabulas nodrošina mehānismu, kā palielināt noteikumu veiktspēju un elastību
IespējasIespējas pielāgo pakešu filtrēšanas dzinēja darbību.
Satiksmes normalizēšanaŠis noteikums aizsargā iekšējās mašīnas pret pretrunām interneta protokolos un ieviešanā.
RindaNodrošina joslas platuma kontroli, pamatojoties uz noteiktiem noteikumiem
TulkošanaŠī opcija nosaka, kā adreses ir jākartē vai jānovirza.
Pakešu filtrēšanaPiedāvā uz noteikumiem balstītu bloķēšanu
Kad noteikumi ir izveidoti, mēs saglabājam izmaiņas, izmantojot Ctrl + O, un izejam no redaktora, izmantojot Ctrl + X.
3. Kā iespējot Linux pf pakalpojumu
Tālāk mēs izpildīsim virkni komandu, lai pārbaudītu un sāktu pf pakalpojumu FreeBSD.
1. darbība
Lai pārbaudītu pf iespējošanas statusu, mēs izpildām rindu:
pfctl -e
2. solis
Lai sāktu pf pakalpojumu, mēs izpildām šādu rindu:
pakalpojuma pf start
3. solis
Mēs pārbaudām pakalpojumu, izpildot:
pakalpojuma pf pārbaude
4. solis
Šajā brīdī mēs varam arī izpildīt kādu no šīm iespējām:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confJa mēs vēlamies apturēt pf pakalpojumu, mēs izpildām:
pakalpojums pf stopLai restartētu pf pakalpojumu:
pakalpojuma pf restartēšana
5. solis
Ja mēs vēlamies redzēt pf pakalpojuma pašreizējo statusu:
pakalpojuma pf statuss
6. darbība
Pf ugunsmūris izmanto pflog pakalpojumu, lai saglabātu un reģistrētu visus drošības notikumus, kas notiek sistēmā. Lietošanas iespējas ir šādas:
pakalpojums pflog start service pflog stop service pflog restart
4. Kā izmantot pf FreeBSD Linux
Jums būs jāizmanto komanda pfctl, lai varētu skatīt pf noteikumu kopu un parametru iestatījumus, tostarp pakešu filtra statusa informāciju.
Lai redzētu šo informāciju, mēs izpildām sekojošo:
pfctl -s noteikumi
Papildus tam mums būs vairāk iespēju, piemēram:
Pievienojiet kārtulas numuru
pfctl -vvsr šovs
Rādīt statusu
pfctl -s stāvoklispfctl -s stāvoklis | vairāk
Atspējot pf
pfctl -d
Iespējot pf
pfctl -e
Notīriet visus noteikumus
pfctl -F viss
Dzēsiet tikai vaicājumus
pfctl -F rinda
Notīrīt visus štatus
pfctl -F informācija
Skatīt pf notikumus
tcpdump -n -e -ttt -r / var / log / pflog
Mēs varam redzēt, kā pf ir praktisks instruments, strādājot ar ugunsmūri FreeBSD.