Bet kurios operacinės sistemos saugumas visada turėtų būti viena iš pagrindinių patalpų, dėl kurios reikia kovoti kiekvieną dieną, nes nuo jos priklauso keli elementai, tokie kaip vartotojo failai, konfigūracija, paslaugos ir kiti. Netinkama saugos parametrų konfigūracija yra susijusi su pažeidžiamumu, dėl kurio durys atidaromos, kad užpuolikai galėtų laisvai pasiekti savo veiksmus.
Vienas iš pagrindinių apsaugos mechanizmų yra susijęs su sistemos užkarda, nes jos dėka galima filtruoti gaunamus ir siunčiamus paketus iš tinklo ir sukurti įvairias taisykles, siekiant pagerinti sistemos ir joje saugomų programų bei objektų saugumą. . l.
Štai kodėl šiandien „Solvetic“ išsamiai paaiškins, kaip sukonfigūruoti užkardą „FreeBSD“ naudojant pf.
Kas yra pfPF (paketų filtras - paketų filtras) buvo sukurta kaip „FreeBSD“ sistemų užkardos programinė įranga, su kuria galime sukurti šimtus taisyklių, leidžiančių daug centralizuotiau valdyti visų sistemos elementų prieigą ir elgesį.
Dabar pamatysime, kaip įjungti ir sukonfigūruoti pf „FreeBSD“.
1. Kaip įjungti „Linux“ užkardą
Nors pf yra integruotas į „FreeBSD“, mes turime pridėti šias eilutes /etc/rc.conf faile su norimu redaktoriumi:
nano /etc/rc.confPridėtinos eilutės:
echo 'pf_enable = "TAIP"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "TAIP"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Kai pridėsime šias eilutes, išsaugosime pakeitimus naudodami klavišus Ctrl + O ir išeisime iš redaktoriaus naudodami Ctrl + X.
Mes pridėjome šias eilutes:
Įgalinti PF paslaugą
pf_enable = "TAIP"
Paimkite PF taisykles iš šio konkretaus failo
pf_rules = " / usr / local / etc / pf.conf"
Įgalinti PF registravimo palaikymą
pflog_enable = "TAIP"
Nurodo failą, kuriame pflogd turėtų saugoti žurnalo failą
pflog_logfile = " / var / log / pflog"Žurnalai bus saugomi faile / var / log / pflog.
2. Kaip sukurti taisykles „Linux“ /usr/local/etc/pf.conf faile
Pridėję ankstesnes eilutes, pateksime į /usr/local/etc/pf.conf failą, kad sukurtume taisykles, kurias pf turi perskaityti ir į kurias bus atsižvelgiama apsaugant.
Mes pasiekiame naudodami redaktorių:
nano /usr/local/etc/pf.confKadangi tai yra naujas failas, taisyklių galimybės yra tūkstančiai, šiuo atveju galime pereiti prie šios nuorodos ir nukopijuoti taisyklę, kuri taikoma žiniatinklio serveriui, ir įklijuoti ją į mūsų konfigūracijos failą:
Ten turime atsižvelgti į tinklo adapterio pakeitimą lauke „ext_if“, kad jis būtų tinkamas kiekvienu atveju.
Šiame faile pridėjome šias taisykles:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domain, ntp, smtp, www, https, ftp}" int_udp_services = "{domenas, ntp} "set skip on loset loginterface $ ext_if # Normalizationcrub visuose atsitiktinių taškų fragmentuose reassembleblock grąžinimas žurnale allblock out allantispoof quick for $ ext_if # Blokuoti" fast-fire brute force "bandomąjį stabilų blokavimą greitai iš # ftp-proxy reikia turėti inkarą "ftp-proxy / *" # SSH klausosi 26 prievado, greitai proto tcp į $ ext_if 26 prievadą išlaikyti būseną (max-src-conn 15, max-src-conn-rate 5/3, perkrovos praplovimas globalus) # Webserverpass proto tcp iš bet kurio į $ ext_if prievadą $ webports # Leisti esminiam išeinančiam srautui greitai išeiti per $ ext_if proto tcp į bet kurį prievadąSvarbu nepamiršti, kad pf turi apibrėžtą tvarką, kad nustatytų taisykles, ir tai yra:
MakrokomandosMakrokomandos turi būti apibrėžtos prieš jas nurodant pf.conf
LentelėsLentelėse pateikiamas taisyklių našumo ir lankstumo didinimo mechanizmas
GalimybėsParinktys reguliuoja paketų filtravimo variklio veikimą.
Eismo normalizavimasŠi taisyklė apsaugo vidines mašinas nuo neatitikimų interneto protokoluose ir diegimuose.
EilėTeikia pralaidumo valdymą pagal apibrėžtas taisykles
VertimasŠi parinktis nurodo, kaip adresai turėtų būti susieti ar peradresuoti.
Paketų filtravimasSiūlo taisyklėmis pagrįstą užraktą
Kai taisyklės bus sukurtos, išsaugosime pakeitimus naudodami Ctrl + O ir išeisime iš redaktoriaus naudodami Ctrl + X.
3. Kaip įjungti „Linux pf“ paslaugą
Toliau paleisime komandų seriją, kad patikrintume ir paleistume „pf“ paslaugą „FreeBSD“.
1 žingsnis
Norėdami patikrinti pf įgalinimo būseną, vykdome eilutę:
pfctl -e
2 žingsnis
Norėdami pradėti pf paslaugą, vykdome šią eilutę:
paslaugos pradžia
3 žingsnis
Paslaugą tikriname atlikdami:
paslaugos pf patikrinimas
4 žingsnis
Šiuo metu taip pat galime atlikti bet kurią iš šių parinkčių:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confJei norime sustabdyti pf paslaugą, vykdome:
paslaugos pf stopNorėdami iš naujo paleisti pf paslaugą:
service pf restart
5 žingsnis
Jei norime pamatyti dabartinę pf paslaugos būseną:
paslaugos pf būsena
6 žingsnis
„Pf“ užkardoje naudojama „pflog“ paslauga, skirta saugoti ir įrašyti visus sistemos įvykius, kurie naudojami sistemoje. Naudojimo parinktys yra šios:
paslauga pflog paleisti paslaugą pflog sustabdyti paslaugą pflog restart
4. Kaip naudotis pf „FreeBSD Linux“
Norėdami peržiūrėti pf taisyklių rinkinį ir parametrų nustatymus, įskaitant paketų filtro būsenos informaciją, turėsite naudoti komandą pfctl.
Norėdami pamatyti šią informaciją, vykdome šiuos veiksmus:
pfctl -s taisyklės
Be to, turėsime daugiau galimybių, tokių kaip:
Pridėkite taisyklės numerį
pfctl -vvsr šou
Rodyti būseną
pfctl -s būsenapfctl -s būsena | daugiau
Išjungti pf
pfctl -d
Įgalinti pf
pfctl -e
Išvalyti visas taisykles
pfctl -F visi
Ištrinkite tik užklausas
pfctl -F eilė
Išvalyti visas būsenas
pfctl -F informacija
Peržiūrėkite PF įvykius
tcpdump -n -e -ttt -r / var / log / pflog
Matome, kaip pf yra praktiškas įrankis dirbant su „FreeBSD“ užkarda.
