활성화했습니다PF(4) 방화벽그리고블랙리스트(8). IP 주소가 블랙리스트에 추가되었음에도 불구하고 단일 IP 주소에서 시도가 여러 번 실패했습니다. 그러나 직접 테스트해 보니 내 IP 주소가 올바르게 블랙리스트에 추가되었습니다. 블랙리스트에 추가되어 더 이상 연결을 시작할 수 없었습니다.
/etc/rc.conf:
blacklistd_enable="YES"
pf_enable="YES"
/etc/blacklistd.conf:
# adr/mask:port type proto owner name nfail disable
[local]
ssh stream * * * 1 365d
# Extra lines removed
/etc/ssh/sshd_config:
...
UseBlacklist Yes
...
/etc/pf.conf:
intf="wlan0"
set skip on { lo0, em0 }
# Packet normalization
scrub in
# Integrate blacklistd to protect sshd
anchor "blacklistd/*" in on $intf
### FIREWALL RULES
# Default firewall rules
block in
pass out
# Allow inbound SSH on the default port (22)
pass in on $intf proto tcp to ($intf) port 22
# Allow basic ICMP functionality
pass in on $intf inet proto icmp to ($intf) icmp-type { unreach, redir, timex, echoreq }
grep sshd /var/log/messages | grep sshd /var/log/messages | grep sshd /var/log/messages tail-20
Mar 2 00:21:11 [...] illegal user admin from 120.92.147.56
Mar 2 00:21:30 [...] illegal user alix from 120.92.147.56
Mar 2 00:21:51 [...] illegal user gotubego from 120.92.147.56
Mar 2 00:23:35 [...] illegal user tsbot from 120.92.147.56
Mar 2 00:23:40 [...] illegal user spravce from 120.92.147.56
Mar 2 00:25:34 [...] root from 120.92.147.56
Mar 2 00:25:57 [...] illegal user admin from 120.92.147.56
Mar 2 00:27:29 [...] illegal user admin from 120.92.147.56
Mar 2 00:29:13 [...] root from 120.92.147.56
Mar 2 00:30:06 [...] root from 120.92.147.56
Mar 2 00:33:09 [...] illegal user admin from 120.92.147.56
Mar 2 00:33:23 [...] illegal user admin from 120.92.147.56
Mar 2 00:34:15 [...] illegal user bogalfb from 120.92.147.56
Mar 2 00:35:34 [...] root from 120.92.147.56
Mar 2 00:35:59 [...] illegal user admin from 120.92.147.56
Mar 3 13:35:35 [...] illegal user user from 103.200.23.124
Mar 4 19:47:59 [...] root from 111.207.23.140
Mar 5 02:09:39 [...] illegal user user from host2.awolphoto.com
Mar 5 16:02:33 [...] illegal user user from 103.221.221.189
Mar 7 04:43:38 [...] illegal user user from server28.pixeled.net
가독성을 위해 줄을 잘랐습니다. 전체 첫 번째 줄은 다음과 같습니다.
Mar 2 00:21:11 phoenix sshd[94473]: error: PAM: authentication error for illegal user admin from 120.92.147.56
쓸모없는 부분을 제거했습니다.
sudo blacklistctl dump-br
150.95.156.167/32:22 OK 2/1 1y3d22h45m57s
27.79.178.252/32:22 OK 2/1 1y3d29h16m55s
194.61.24.162/32:22 OK 40/1 20d2h19m32s
76.242.160.219/32:22 OK 2/1 22d42h8m58s
91.121.173.184/32:22 OK 2/1 2d12h1m40s
116.127.174.152/32:22 OK 2/1 7d34h39m45s
88.214.26.49/32:22 OK 62/1 9d11h56m22s
...
목록에는 1069개의 항목이 포함되어 있지만 IP 주소는 포함되지 않습니다 120.92.147.56.
질문
- 일부 IP 주소는 1년(그 이상) 후에 만료되는 반면 다른 IP 주소는 단 며칠(예: 2일) 후에 만료됩니다.
- 일부 IP 주소(예
120.92.147.56: )는아니요당연히 목록에 추가되어야 합니다. - 일부 주소는 목록에서 차단되기까지 최대 62번의 시도를 할 수 있습니다.
예상대로 작동하려면 구성에 무엇이 누락되어 있습니까?
답변1
내 구성은 거의 동일합니다. /var/log/messages에 sshd "...illegal user..."가 표시되지 않습니다.
유일한 차이점은 내 rc.conf에 있습니다.
blacklistd_flags="-r"
그리고 pf.conf에 있습니다. 바꾸다
pass in on $intf proto tcp to ($intf) port 22
당신은 이것을 고려할 수 있습니다
pass in on $intf proto tcp from any to any port ssh flags S/SA synproxy state
FWIW. 구성을 재현 가능하게 만들기 위해 다음을 사용합니다.앤서블의 역할
노트
"88.214.26.49/32:22 OK 62/1 9d11h56m22s" 항목이 의심스러워 보입니다. 첫 번째 실패 후 블랙리스트에 등록되어야 합니다. 62번의 실패를 어떻게 달성했나요?
항목 "194.61.24.162/32:22 OK 40/1 20d2h19m32s"dtto
"365d"를 비활성화하도록 구성했지만 위 항목에는 남은 시간(일)이 표시됩니다. 이 항목이 실제로 11개월 넘게 블랙리스트에 올랐습니까?