Sikkerhed i ethvert operativsystem bør altid være en af de vigtigste præmisser for hver dag, da flere elementer afhænger af det, f.eks. Brugerfiler, konfigurationer, tjenester og andre. En forkert konfiguration af sikkerhedsparametrene er forbundet med en sårbarhed, der efterlader døre åbne, så angriberne har fri adgang til at udføre deres handlinger.
En af de vigtigste sikkerhedsmekanismer er knyttet til systemets firewall, da det takket være det er muligt at filtrere indgående og udgående pakker fra netværket og oprette forskellige regler for at forbedre sikkerheden for både systemet og applikationer og objekter, der er gemt i det . l.
Derfor vil Solvetic i dag forklare detaljeret, hvordan du konfigurerer firewallen i FreeBSD ved hjælp af pf.
Hvad er pfPF (Packet Filter - Packet Filter) er udviklet som en firewall -software til FreeBSD -systemer, hvormed vi kan oprette hundredvis af regler, der giver os mulighed for på en meget mere centraliseret måde at styre adgangen og adfærden for alle systemets elementer.
Nu vil vi se, hvordan du aktiverer og konfigurerer pf i FreeBSD.
1. Sådan aktiveres Linux -firewall
Selvom pf er indbygget i FreeBSD, skal vi tilføje følgende linjer i filen /etc/rc.conf med en ønsket editor:
nano /etc/rc.confDe linjer, der skal tilføjes, er:
echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "YES"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Når vi tilføjer disse linjer, gemmer vi ændringerne ved hjælp af Ctrl + O -tasterne, og vi forlader editoren med Ctrl + X.
De linjer, vi har tilføjet, er:
Aktiver PF -tjenesten
pf_enable = "JA"
Tag PF -reglerne fra denne specifikke fil
pf_rules = " / usr / local / etc / pf.conf"
Aktiver logningsunderstøttelse for PF
pflog_enable = "JA"
Henviser til filen, hvor pflogd skal gemme logfilen
pflog_logfile = " / var / log / pflog"Der gemmes logfilerne i filen / var / log / pflog.
2. Sådan oprettes regler i Linux /usr/local/etc/pf.conf -fil
Når de tidligere linjer er tilføjet, får vi adgang til filen /usr/local/etc/pf.conf for at oprette de regler, som pf skal læse, og som der vil blive taget højde for ved beskyttelse.
Vi får adgang ved hjælp af en editor:
nano /usr/local/etc/pf.confDa det er en ny fil, er mulighederne for regler tusinder, i dette tilfælde kan vi gå til følgende link og kopiere reglen, der gælder for en webserver, og indsætte den i vores konfigurationsfil:
Der skal vi tage højde for at ændre netværksadapteren i feltet ext_if for den korrekte i hvert tilfælde.
I denne fil har vi tilføjet følgende regler:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domæne, ntp, smtp, www, https, ftp}" int_udp_services = "{domæne, ntp} "set spring over på loset loginterface $ ext_if # Normaliseringercrub i alle tilfældige id-fragmenter samlesblok returnerer i log allblock out allantispoof hurtig til $ ext_if # Block 'hurtig-brand brute force forsøgsstabil persistblock hurtig fra # ftp-proxy skal have en forankring "ftp-proxy / *" # SSH lytter på port 26pass i hurtig proto tcp til $ ext_if port 26 bevar tilstand (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp fra en hvilken som helst til $ ext_if port $ webports # Tillad væsentlig udgående trafik hurtigt at gå ud på $ ext_if proto tcp til en hvilken som helst port $ int_tcp_services pass hurtigt ud på $ ext_if proto udp til enhver port $ int_udp_servicesNoget vigtigt at huske på er, at pf har en defineret rækkefølge til at fastsætte reglerne, og dette er:
MakroerMakroer skal defineres, før de refereres til i pf.conf
TabellerTabeller giver en mekanisme til at øge reglernes ydeevne og fleksibilitet
MulighederMulighederne justerer adfærden for pakkefiltreringsmotoren.
Normalisering af trafikDenne regel beskytter interne maskiner mod inkonsekvenser i internetprotokoller og implementeringer.
Stå i køGiver båndbreddekontrol baseret på definerede regler
OversættelseDenne indstilling angiver, hvordan adresser skal kortlægges eller omdirigeres.
PakkefiltreringTilbyder en regelbaseret lås
Når reglerne er oprettet, gemmer vi ændringerne ved hjælp af Ctrl + O og forlader editoren med Ctrl + X.
3. Sådan aktiveres Linux pf service
Dernæst vil vi køre en række kommandoer for at kontrollere og starte pf -tjenesten på FreeBSD.
Trin 1
For at kontrollere status for pf -aktivering udfører vi linjen:
pfctl -e
Trin 2
For at starte pf -tjenesten udfører vi følgende linje:
service pf start
Trin 3
Vi kontrollerer tjenesten ved at udføre:
service pf tjek
Trin 4
På dette tidspunkt kan vi også udføre en af følgende muligheder:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confHvis vi vil stoppe pf -tjenesten, udfører vi:
service pf stopSådan genstarter du pf -tjenesten:
service pf genstart
Trin 5
Hvis vi vil se den aktuelle status for pf -tjenesten:
service pf status
Trin 6
Pf -firewallen gør brug af pflog -tjenesten til at gemme og registrere alle de sikkerhedshændelser, der opstår i systemet, mulighederne for brug er:
service pflog start service pflog stop service pflog genstart
4. Sådan bruges pf i FreeBSD Linux
Du bliver nødt til at bruge kommandoen pfctl for at kunne se pf -regelsættet og parameterindstillinger, herunder oplysninger om pakkefilterstatus.
For at se disse oplysninger udfører vi følgende:
pfctl -s regler
Ud over dette har vi flere muligheder som:
Tilføj regelnummer
pfctl -vvsr show
Vis status
pfctl -s statepfctl -s tilstand | mere
Deaktiver pf
pfctl -d
Aktiver pf
pfctl -e
Ryd alle regler
pfctl -F alle
Slet kun forespørgslerne
pfctl -F kø
Ryd alle stater
pfctl -F info
Se pf begivenheder
tcpdump -n -e -ttt -r / var / log / pflog
Vi kan se, hvordan pf er et praktisk værktøj, når du arbejder med firewallen i FreeBSD.
