33.6.Blacklistd
33.6.1. 启用 Blacklistd
Blacklistd 的主要配置存储在 blacklistd.conf(5) 中。还提供了各种命令行选项来更改 blacklistd 的运行时行为。持久的配置应存储在 /etc/blacklistd.conf 中。要在系统启动时启用该守护进程,请将 blacklistd_enable 行添加到 /etc/rc.conf 中,如下所示:
要手动启动服务,请运行以下命令:
33.6.2. 创建 Blacklistd 规则集
Blacklistd 的规则在 blacklistd.conf(5) 中配置,每行包含一个条目。每个规则包含由空格或制表符分隔的元组。规则可以属于 local 或 remote,分别适用于运行 blacklistd 的机器或外部源。
33.6.2.1. 本地规则
本地规则的一个示例 blacklistd.conf 条目如下所示:
所有跟随 [local] 部分的规则都被视为本地规则(这是默认设置),适用于本地机器。当遇到 [remote] 部分时,后续的规则将作为远程机器规则处理。
七个由制表符或空格分隔的字段定义了一个规则。前四个字段标识应该被列入黑名单的流量。接下来的三个字段定义了 blacklistd 的行为。通配符由星号 (*) 表示,匹配该字段中的任何内容。第一个字段定义了位置。在本地规则中,这些是网络端口。位置字段的语法如下:
地址可以以数字格式指定为 IPv4,或者用方括号表示 IPv6。也可以使用像 em0 这样的接口名称。
第二个字段定义了套接字类型。TCP 套接字为 stream 类型,而 UDP 则用 dgram 表示。上面的示例使用的是 TCP,因为 SSH 使用的是该协议。
第三个字段可以在 blacklistd 规则中使用协议。可以使用以下协议:tcp、udp、tcp6、udp6 或数字。像上面的示例一样,通常使用通配符来匹配所有协议,除非有特别的理由需要通过特定协议区分流量。
在第四个字段中,定义了报告事件的守护进程的有效用户或所有者。这里可以使用用户名或 UID,也可以使用通配符(参见上面的示例规则)。
第五个字段声明了数据包过滤规则的名称,这标志着规则的行为部分。默认情况下,blacklistd 将所有阻塞规则放置在 pf.conf 中的名为 blacklistd 的锚点下,如下所示:
对于单独的黑名单,可以在该字段中使用锚点名称。在其他情况下,使用通配符就足够了。当名称以连字符(-)开头时,意味着应使用带有默认规则名称的锚点。下面是修改后的示例,使用了连字符:
在这种规则下,任何新的黑名单规则将添加到名为 blacklistd-ssh 的锚点中。
要阻止整个子网在单次规则违反时,可以在规则名称中使用 /。这将使规则中指定的地址应用剩余部分作为掩码。例如,此规则将阻止与 /24 相邻的每个地址:
注意
这里需要指定正确的协议。IPv4 和 IPv6 对
/24的处理不同,因此在此规则的第三个字段中不能使用*。
此规则定义了,如果该网络中的任何主机表现不当,整个网络中的其他主机也将被阻止。
第六个字段,称为 nfail,设置了需要多少次登录失败才能将远程 IP 列入黑名单。当在此位置使用通配符时,意味着永远不会发生阻止。在上面的示例规则中,定义了三次登录失败的限制,即在 SSH 上三次尝试登录后,该 IP 会被阻止。
最后一个字段指定了主机被列入黑名单的时间。默认单位为秒,但也可以指定如 m、h 和 d 等后缀,分别表示分钟、小时和天。
完整的示例规则意味着在三次尝试 SSH 身份验证后,将为该主机创建新的 PF 阻止规则。规则匹配按顺序进行,首先检查本地规则,最具体的规则优先。匹配发生后,将应用 remote 规则,并且通过匹配的 remote 规则更改规则中的名称、nfail 和禁用字段。
33.6.2.2. 远程规则
远程规则用于指定 blacklistd 如何根据当前评估的远程主机来改变其行为。远程规则中的每个字段与本地规则相同。唯一的区别在于 blacklistd 使用它们的方式。为了说明这一点,使用以下示例规则:
地址字段可以是 IP 地址(无论是 v4 还是 v6)、Port 或两者的组合。这允许为特定的远程地址范围设置特殊规则,就像这个示例一样。套接字类型、协议和所有者字段的解释与本地规则相同。
不过,名称字段是不同的:远程规则中的等号(=)告诉 blacklistd 使用匹配的本地规则中的值。这意味着防火墙规则条目会被采用,并且会添加 /25 前缀(即子网掩码为 255.255.255.128)。当来自该地址范围的连接被列入黑名单时,整个子网都会受到影响。这里也可以使用 PF 锚点名称,在这种情况下,blacklistd 会将此地址块的规则添加到该名称的锚点中。当使用通配符时,将使用默认表。
可以为地址在 nfail 列中定义自定义的失败次数。这对于对特定规则的例外情况很有用,例如,可能允许某人对登录尝试有更宽松的限制或更多的容忍度。使用星号(*)时,阻止功能将被禁用。
远程规则允许比来自本地网络(例如办公室)尝试登录时更加严格地执行限制。
33.6.3. Blacklistd 客户端配置
在 FreeBSD 中,有一些软件包可以利用 blacklistd 的功能。最突出的两个是 ftpd(8) 和 sshd(8),它们可以阻止过多的连接尝试。要在 SSH 守护进程中启用 blacklistd,请在 /etc/ssh/sshd_config 中添加以下行:
然后重新启动 sshd 使更改生效。
对于 ftpd(8),可以使用 -B 来启用黑名单功能,这可以在 /etc/inetd.conf 中设置,或者作为标志在 /etc/rc.conf 中设置,如下所示:
这就是让这些程序与 blacklistd 进行通信所需的所有设置。
33.6.4. Blacklistd 管理
Blacklistd 提供了一个名为 blacklistctl(8) 的管理工具。它显示了通过 blacklistd.conf(5) 中定义的规则被列入黑名单的地址和网络。要查看当前被阻止的主机列表,可以使用 dump 命令并结合 -b 参数,如下所示:
这个示例显示了来自地址范围 213.0.123.128/25 的端口 22 上发生的连接尝试,其中有 6 次失败尝试超过了允许的 3 次。列出的尝试次数超过了允许的次数,因为 SSH 允许客户端在一个 TCP 连接上尝试多次登录。当前的连接不会被 blacklistd 停止。最后一次连接尝试的时间显示在 last access 列中。
要查看此主机剩余的封锁时间,可以在之前的命令中添加 -r 参数:
在这个示例中,距离该主机解除封锁还有 36 秒。
33.6.5. 从黑名单中移除主机
有时需要在剩余时间到期之前将某个主机从黑名单中移除。不幸的是,blacklistd 并没有提供直接的功能来执行此操作。然而,可以使用 pfctl 从 PF 表中移除该地址。对于每个被阻止的端口,/etc/pf.conf 中的 blacklistd 锚点内都会定义一个子锚点。例如,如果有一个子锚点用于阻止端口 22,它会被命名为 blacklistd/22。该子锚点内部有一个表格,包含了被阻止的地址。这个表格的名称是端口号加上端口名。在此示例中,它的名称为 port22。有了这些信息后,就可以使用 pfctl(8) 来显示列出的所有地址,如下所示:
在从列表中识别出需要解除封锁的地址后,使用以下命令将其从列表中移除:
该地址现在已从 PF 中移除,但仍会出现在 blacklistctl 列表中,因为 blacklistd 并不知道 PF 中所做的更改。blacklistd 数据库中的该条目最终会过期,并从输出中移除。如果该主机再次匹配 blacklistd 中的某条封锁规则,则该条目将再次被添加。
最后更新于
这有帮助吗?