질문

질문

활성화했습니다PF(4) 방화벽그리고블랙리스트(8). IP 주소가 블랙리스트에 추가되었음에도 불구하고 단일 IP 주소에서 시도가 여러 번 실패했습니다. 그러나 직접 테스트해 보니 내 IP 주소가 올바르게 블랙리스트에 추가되었습니다. 블랙리스트에 추가되어 더 이상 연결을 시작할 수 없었습니다.

/etc/rc.conf:

blacklistd_enable="YES"
pf_enable="YES"

/etc/blacklistd.conf:

# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       1       365d
# Extra lines removed

/etc/ssh/sshd_config:

...
UseBlacklist Yes
...

/etc/pf.conf:

intf="wlan0"
set skip on { lo0, em0 }

# Packet normalization
scrub in

# Integrate blacklistd to protect sshd
anchor "blacklistd/*" in on $intf

### FIREWALL RULES

# Default firewall rules
block in
pass out
# Allow inbound SSH on the default port (22)
pass in on $intf proto tcp to ($intf) port 22
# Allow basic ICMP functionality
pass in on $intf inet proto icmp to ($intf) icmp-type { unreach, redir, timex, echoreq }

grep sshd /var/log/messages | grep sshd /var/log/messages | grep sshd /var/log/messages tail-20

Mar  2 00:21:11 [...] illegal user admin from 120.92.147.56
Mar  2 00:21:30 [...] illegal user alix from 120.92.147.56
Mar  2 00:21:51 [...] illegal user gotubego from 120.92.147.56
Mar  2 00:23:35 [...] illegal user tsbot from 120.92.147.56
Mar  2 00:23:40 [...] illegal user spravce from 120.92.147.56
Mar  2 00:25:34 [...] root from 120.92.147.56
Mar  2 00:25:57 [...] illegal user admin from 120.92.147.56
Mar  2 00:27:29 [...] illegal user admin from 120.92.147.56
Mar  2 00:29:13 [...] root from 120.92.147.56
Mar  2 00:30:06 [...] root from 120.92.147.56
Mar  2 00:33:09 [...] illegal user admin from 120.92.147.56
Mar  2 00:33:23 [...] illegal user admin from 120.92.147.56
Mar  2 00:34:15 [...] illegal user bogalfb from 120.92.147.56
Mar  2 00:35:34 [...] root from 120.92.147.56
Mar  2 00:35:59 [...] illegal user admin from 120.92.147.56
Mar  3 13:35:35 [...] illegal user user from 103.200.23.124
Mar  4 19:47:59 [...] root from 111.207.23.140
Mar  5 02:09:39 [...] illegal user user from host2.awolphoto.com
Mar  5 16:02:33 [...] illegal user user from 103.221.221.189
Mar  7 04:43:38 [...] illegal user user from server28.pixeled.net

가독성을 위해 줄을 잘랐습니다. 전체 첫 번째 줄은 다음과 같습니다.

Mar  2 00:21:11 phoenix sshd[94473]: error: PAM: authentication error for illegal user admin from 120.92.147.56

쓸모없는 부분을 제거했습니다.

sudo blacklistctl dump-br

 150.95.156.167/32:22   OK      2/1     1y3d22h45m57s
  27.79.178.252/32:22   OK      2/1     1y3d29h16m55s
  194.61.24.162/32:22   OK      40/1    20d2h19m32s
 76.242.160.219/32:22   OK      2/1     22d42h8m58s
 91.121.173.184/32:22   OK      2/1     2d12h1m40s
116.127.174.152/32:22   OK      2/1     7d34h39m45s
   88.214.26.49/32:22   OK      62/1    9d11h56m22s
...

목록에는 1069개의 항목이 포함되어 있지만 IP 주소는 포함되지 않습니다 120.92.147.56.

질문

  1. 일부 IP 주소는 1년(그 이상) 후에 만료되는 반면 다른 IP 주소는 단 며칠(예: 2일) 후에 만료됩니다.
  2. 일부 IP 주소(예 120.92.147.56: )는아니요당연히 목록에 추가되어야 합니다.
  3. 일부 주소는 목록에서 차단되기까지 최대 62번의 시도를 할 수 있습니다.

예상대로 작동하려면 구성에 무엇이 누락되어 있습니까?

답변1

내 구성은 거의 동일합니다. /var/log/messages에 sshd "...illegal user..."가 표시되지 않습니다.

유일한 차이점은 내 rc.conf에 있습니다.

blacklistd_flags="-r"

그리고 pf.conf에 있습니다. 바꾸다

pass in on $intf proto tcp to ($intf) port 22

당신은 이것을 고려할 수 있습니다

pass in on $intf proto tcp from any to any port ssh flags S/SA synproxy state

FWIW. 구성을 재현 가능하게 만들기 위해 다음을 사용합니다.앤서블의 역할

노트

  • "88.214.26.49/32:22 OK 62/1 9d11h56m22s" 항목이 의심스러워 보입니다. 첫 번째 실패 후 블랙리스트에 등록되어야 합니다. 62번의 실패를 어떻게 달성했나요?

  • 항목 "194.61.24.162/32:22 OK 40/1 20d2h19m32s"dtto

  • "365d"를 비활성화하도록 구성했지만 위 항목에는 남은 시간(일)이 표시됩니다. 이 항목이 실제로 11개월 넘게 블랙리스트에 올랐습니까?

관련 정보