Сигурността във всяка операционна система винаги трябва да бъде една от основните предпоставки, за които да се борим всеки ден, тъй като много елементи зависят от нея, като потребителски файлове, конфигурации, услуги и други. Неправилната конфигурация на параметрите за сигурност е свързана с уязвимост, която оставя вратите отворени, така че нападателите да имат свободен достъп за извършване на своите действия.
Един от основните механизми за защита е свързан със защитната стена на системата, тъй като благодарение на нея е възможно да се филтрират входящите и изходящите пакети от мрежата и да се създават различни правила, за да се подобри сигурността както на системата, така и на приложенията и обектите, съхранявани в нея . л.
Ето защо днес Solvetic ще обясни подробно как да конфигурирате защитната стена във FreeBSD с помощта на pf.
Какво е pfPF (Packet Filter - Packet Filter) е разработен като софтуер за защитна стена за FreeBSD системи, с който можем да създадем стотици правила, които ни позволяват да управляваме по много по -централизиран начин достъпа и поведението на всички елементи на системата.
Сега ще видим как да активираме и конфигурираме pf във FreeBSD.
1. Как да активирате защитната стена на Linux
Въпреки че pf е вграден във FreeBSD, трябва да добавим следните редове във файла /etc/rc.conf с някакъв желан редактор:
nano /etc/rc.confРедовете за добавяне са:
echo 'pf_enable = "ДА"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "ДА"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
След като добавим тези редове, запазваме промените с помощта на клавишите Ctrl + O и излизаме от редактора, използвайки Ctrl + X.
Редовете, които добавихме са:
Активирайте услугата PF
pf_enable = "ДА"
Вземете правилата за PF от този конкретен файл
pf_rules = " / usr / local / etc / pf.conf"
Активирайте поддръжката на регистриране за PF
pflog_enable = "ДА"
Отнася се до файла, където pflogd трябва да съхранява регистрационния файл
pflog_logfile = " / var / log / pflog"Там регистрационните файлове ще се съхраняват във файла / var / log / pflog.
2. Как да създадете правила в Linux /usr/local/etc/pf.conf файл
След като предишните редове са добавени, ще имаме достъп до /usr/local/etc/pf.conf файла, за да създадем правилата, които pf трябва да прочете и които ще бъдат взети предвид при защитата.
Достъпваме с помощта на редактор:
nano /usr/local/etc/pf.confТъй като това е нов файл, възможностите на правилата са хиляди, за този случай можем да отидем на следната връзка и да копираме правилото, което се отнася за уеб сървър, и да го поставим в нашия конфигурационен файл:
Там трябва да вземем предвид промяната на мрежовия адаптер в полето ext_if за правилния във всеки случай.
В този файл сме добавили следните правила:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{домейн, ntp, smtp, www, https, ftp}" int_udp_services = "{домейн, ntp} "set skip on loset loginterface $ ext_if # Normalizationscrub във всички фрагменти с произволен идентификатор повторно сглобяванеблок връщане в дневника allblock out allantispoof бързо за $ ext_if # Block 'fast-fire brute force probable persistblock бързо от # ftp-proxy трябва да има котва "ftp-proxy / *" # SSH слуша на порт 26pass в бърз протокол tcp към $ ext_if порт 26 запазване на състоянието (max-src-conn 15, max-src-conn-rate 5/3, глобално претоварване на претоварване) # Webserverpass proto tcp от всеки към $ ext_if порт $ уебпортове # Позволява бързо преминаване на съществен изходящ трафик на $ ext_if proto tcp към всеки порт $ int_tcp_servicesпреминава бързо на $ ext_if proto udp към всеки порт $ int_udp_servicesНещо жизненоважно да имате предвид е, че pf има определен ред за установяване на правилата и това е:
МакросиМакросите трябва да бъдат дефинирани, преди да бъдат посочени в pf.conf
ТаблициТаблиците предоставят механизъм за повишаване на ефективността и гъвкавостта на правилата
НастроикиОпциите коригират поведението на машината за пакетно филтриране.
Нормализиране на трафикаТова правило защитава вътрешните машини от несъответствия в интернет протоколите и внедряванията.
ОпашкиОсигурява контрол на честотната лента въз основа на определени правила
ПреводТази опция указва как адресите трябва да бъдат картографирани или пренасочени.
Пакетно филтриранеПредлага заключване, основано на правила
След като правилата са създадени, ние запазваме промените с помощта на Ctrl + O и излизаме от редактора, използвайки Ctrl + X.
3. Как да активирате Linux pf услугата
След това ще изпълним поредица от команди за проверка и стартиране на услугата pf на FreeBSD.
Етап 1
За да проверим състоянието на активирането на pf, изпълняваме реда:
pfctl -e
Стъпка 2
За да стартираме услугата pf, изпълняваме следния ред:
услуга pf старт
Стъпка 3
Проверяваме услугата, като изпълняваме:
услуга pf проверка
Стъпка 4
На този етап можем също да изпълним някоя от следните опции:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confАко искаме да спрем услугата pf, изпълняваме:
услуга pf стопЗа да рестартирате услугата pf:
услуга pf рестартиране
Стъпка 5
Ако искаме да видим текущото състояние на услугата pf:
услуга pf статус
Стъпка 6
Защитната стена на pf използва услугата pflog за съхраняване и записване на всички събития за сигурност, които се случват в системата, опциите за използване са:
услуга pflog старт услуга pflog стоп услуга pflog рестартиране
4. Как да използвате pf във FreeBSD Linux
Ще трябва да използвате командата pfctl, за да можете да видите набора от правила pf и настройките на параметрите, включително информацията за състоянието на филтъра за пакети.
За да видим тази информация, изпълняваме следното:
pfctl -s правила
В допълнение към това ще имаме още опции като:
Добавете номер на правило
pfctl -vvsr шоу
Показване на състоянието
pfctl -s състояние pfctl -s състояние | Повече ▼
Деактивирайте pf
pfctl -d
Активирайте pf
pfctl -e
Изчистете всички правила
pfctl -F всички
Изтрийте само заявките
pfctl -F опашка
Изчистете всички щати
pfctl -F информация
Преглед на pf събития
tcpdump -n -e -ttt -r / var / log / pflog
Можем да видим как pf е практичен инструмент при работа с защитната стена във FreeBSD.
