33.6.Blacklistd

33.6.1. 启用 Blacklistd

Blacklistd 的主要配置存储在 blacklistd.conf(5) 中。还提供了各种命令行选项来更改 blacklistd 的运行时行为。持久的配置应存储在 /etc/blacklistd.conf 中。要在系统启动时启用该守护进程,请将 blacklistd_enable 行添加到 /etc/rc.conf 中,如下所示:

# sysrc blacklistd_enable=yes

要手动启动服务,请运行以下命令:

# service blacklistd start

33.6.2. 创建 Blacklistd 规则集

Blacklistd 的规则在 blacklistd.conf(5) 中配置,每行包含一个条目。每个规则包含由空格或制表符分隔的元组。规则可以属于 localremote,分别适用于运行 blacklistd 的机器或外部源。

33.6.2.1. 本地规则

本地规则的一个示例 blacklistd.conf 条目如下所示:

[local]
ssh             stream  *       *               *       3       24h

所有跟随 [local] 部分的规则都被视为本地规则(这是默认设置),适用于本地机器。当遇到 [remote] 部分时,后续的规则将作为远程机器规则处理。

七个由制表符或空格分隔的字段定义了一个规则。前四个字段标识应该被列入黑名单的流量。接下来的三个字段定义了 blacklistd 的行为。通配符由星号 (*) 表示,匹配该字段中的任何内容。第一个字段定义了位置。在本地规则中,这些是网络端口。位置字段的语法如下:

[address|interface][/mask][:port]

地址可以以数字格式指定为 IPv4,或者用方括号表示 IPv6。也可以使用像 em0 这样的接口名称。

第二个字段定义了套接字类型。TCP 套接字为 stream 类型,而 UDP 则用 dgram 表示。上面的示例使用的是 TCP,因为 SSH 使用的是该协议。

第三个字段可以在 blacklistd 规则中使用协议。可以使用以下协议:tcpudptcp6udp6 或数字。像上面的示例一样,通常使用通配符来匹配所有协议,除非有特别的理由需要通过特定协议区分流量。

在第四个字段中,定义了报告事件的守护进程的有效用户或所有者。这里可以使用用户名或 UID,也可以使用通配符(参见上面的示例规则)。

第五个字段声明了数据包过滤规则的名称,这标志着规则的行为部分。默认情况下,blacklistd 将所有阻塞规则放置在 pf.conf 中的名为 blacklistd 的锚点下,如下所示:

anchor "blacklistd/*" in on $ext_if
block in
pass out

对于单独的黑名单,可以在该字段中使用锚点名称。在其他情况下,使用通配符就足够了。当名称以连字符(-)开头时,意味着应使用带有默认规则名称的锚点。下面是修改后的示例,使用了连字符:

ssh             stream  *       *               -ssh       3       24h

在这种规则下,任何新的黑名单规则将添加到名为 blacklistd-ssh 的锚点中。

要阻止整个子网在单次规则违反时,可以在规则名称中使用 /。这将使规则中指定的地址应用剩余部分作为掩码。例如,此规则将阻止与 /24 相邻的每个地址:

22              stream  tcp       *               */24    3       24h

注意

这里需要指定正确的协议。IPv4 和 IPv6 对 /24 的处理不同,因此在此规则的第三个字段中不能使用 *

此规则定义了,如果该网络中的任何主机表现不当,整个网络中的其他主机也将被阻止。

第六个字段,称为 nfail,设置了需要多少次登录失败才能将远程 IP 列入黑名单。当在此位置使用通配符时,意味着永远不会发生阻止。在上面的示例规则中,定义了三次登录失败的限制,即在 SSH 上三次尝试登录后,该 IP 会被阻止。

最后一个字段指定了主机被列入黑名单的时间。默认单位为秒,但也可以指定如 mhd 等后缀,分别表示分钟、小时和天。

完整的示例规则意味着在三次尝试 SSH 身份验证后,将为该主机创建新的 PF 阻止规则。规则匹配按顺序进行,首先检查本地规则,最具体的规则优先。匹配发生后,将应用 remote 规则,并且通过匹配的 remote 规则更改规则中的名称、nfail 和禁用字段。

33.6.2.2. 远程规则

远程规则用于指定 blacklistd 如何根据当前评估的远程主机来改变其行为。远程规则中的每个字段与本地规则相同。唯一的区别在于 blacklistd 使用它们的方式。为了说明这一点,使用以下示例规则:

[remote]
203.0.113.128/25 *      *       *               =/25    =       48h

地址字段可以是 IP 地址(无论是 v4 还是 v6)、Port 或两者的组合。这允许为特定的远程地址范围设置特殊规则,就像这个示例一样。套接字类型、协议和所有者字段的解释与本地规则相同。

不过,名称字段是不同的:远程规则中的等号(=)告诉 blacklistd 使用匹配的本地规则中的值。这意味着防火墙规则条目会被采用,并且会添加 /25 前缀(即子网掩码为 255.255.255.128)。当来自该地址范围的连接被列入黑名单时,整个子网都会受到影响。这里也可以使用 PF 锚点名称,在这种情况下,blacklistd 会将此地址块的规则添加到该名称的锚点中。当使用通配符时,将使用默认表。

可以为地址在 nfail 列中定义自定义的失败次数。这对于对特定规则的例外情况很有用,例如,可能允许某人对登录尝试有更宽松的限制或更多的容忍度。使用星号(*)时,阻止功能将被禁用。

远程规则允许比来自本地网络(例如办公室)尝试登录时更加严格地执行限制。

33.6.3. Blacklistd 客户端配置

在 FreeBSD 中,有一些软件包可以利用 blacklistd 的功能。最突出的两个是 ftpd(8)sshd(8),它们可以阻止过多的连接尝试。要在 SSH 守护进程中启用 blacklistd,请在 /etc/ssh/sshd_config 中添加以下行:

UseBlacklist yes

然后重新启动 sshd 使更改生效。

对于 ftpd(8),可以使用 -B 来启用黑名单功能,这可以在 /etc/inetd.conf 中设置,或者作为标志在 /etc/rc.conf 中设置,如下所示:

ftpd_flags="-B"

这就是让这些程序与 blacklistd 进行通信所需的所有设置。

33.6.4. Blacklistd 管理

Blacklistd 提供了一个名为 blacklistctl(8) 的管理工具。它显示了通过 blacklistd.conf(5) 中定义的规则被列入黑名单的地址和网络。要查看当前被阻止的主机列表,可以使用 dump 命令并结合 -b 参数,如下所示:

# blacklistctl dump -b
      address/ma:port id      nfail   last access
213.0.123.128/25:22   OK      6/3     2019/06/08 14:30:19

这个示例显示了来自地址范围 213.0.123.128/25 的端口 22 上发生的连接尝试,其中有 6 次失败尝试超过了允许的 3 次。列出的尝试次数超过了允许的次数,因为 SSH 允许客户端在一个 TCP 连接上尝试多次登录。当前的连接不会被 blacklistd 停止。最后一次连接尝试的时间显示在 last access 列中。

要查看此主机剩余的封锁时间,可以在之前的命令中添加 -r 参数:

# blacklistctl dump -br
      address/ma:port id      nfail   remaining time
213.0.123.128/25:22   OK      6/3     36s

在这个示例中,距离该主机解除封锁还有 36 秒。

33.6.5. 从黑名单中移除主机

有时需要在剩余时间到期之前将某个主机从黑名单中移除。不幸的是,blacklistd 并没有提供直接的功能来执行此操作。然而,可以使用 pfctl 从 PF 表中移除该地址。对于每个被阻止的端口,/etc/pf.conf 中的 blacklistd 锚点内都会定义一个子锚点。例如,如果有一个子锚点用于阻止端口 22,它会被命名为 blacklistd/22。该子锚点内部有一个表格,包含了被阻止的地址。这个表格的名称是端口号加上端口名。在此示例中,它的名称为 port22。有了这些信息后,就可以使用 pfctl(8) 来显示列出的所有地址,如下所示:

# pfctl -a blacklistd/22 -t port22 -T show
...
213.0.123.128/25
...

在从列表中识别出需要解除封锁的地址后,使用以下命令将其从列表中移除:

# pfctl -a blacklistd/22 -t port22 -T delete 213.0.123.128/25

该地址现在已从 PF 中移除,但仍会出现在 blacklistctl 列表中,因为 blacklistd 并不知道 PF 中所做的更改。blacklistd 数据库中的该条目最终会过期,并从输出中移除。如果该主机再次匹配 blacklistd 中的某条封锁规则,则该条目将再次被添加。

最后更新于

这有帮助吗?