有効にしましたPF(4) ファイアウォールそしてブラックリスト(8)。 IPアドレスがブラックリストに追加されたにもかかわらず、単一のIPアドレスで複数回試行が失敗しました。しかし、直接テストしてみると、私のIPアドレスが正しくブラックリストに追加されました。ブラックリストに追加され、接続を開始できなくなりました。
/etc/rc.conf:
blacklistd_enable="YES"
pf_enable="YES"
/etc/blacklistd.conf:
# adr/mask:port type proto owner name nfail disable
[local]
ssh stream * * * 1 365d
# Extra lines removed
/etc/ssh/sshd_config:
...
UseBlacklist Yes
...
/etc/pf.conf:
intf="wlan0"
set skip on { lo0, em0 }
# Packet normalization
scrub in
# Integrate blacklistd to protect sshd
anchor "blacklistd/*" in on $intf
### FIREWALL RULES
# Default firewall rules
block in
pass out
# Allow inbound SSH on the default port (22)
pass in on $intf proto tcp to ($intf) port 22
# Allow basic ICMP functionality
pass in on $intf inet proto icmp to ($intf) icmp-type { unreach, redir, timex, echoreq }
grep sshd /var/log/messages | grep sshd /var/log/messages | grep sshd /var/log/messages tail-20
Mar 2 00:21:11 [...] illegal user admin from 120.92.147.56
Mar 2 00:21:30 [...] illegal user alix from 120.92.147.56
Mar 2 00:21:51 [...] illegal user gotubego from 120.92.147.56
Mar 2 00:23:35 [...] illegal user tsbot from 120.92.147.56
Mar 2 00:23:40 [...] illegal user spravce from 120.92.147.56
Mar 2 00:25:34 [...] root from 120.92.147.56
Mar 2 00:25:57 [...] illegal user admin from 120.92.147.56
Mar 2 00:27:29 [...] illegal user admin from 120.92.147.56
Mar 2 00:29:13 [...] root from 120.92.147.56
Mar 2 00:30:06 [...] root from 120.92.147.56
Mar 2 00:33:09 [...] illegal user admin from 120.92.147.56
Mar 2 00:33:23 [...] illegal user admin from 120.92.147.56
Mar 2 00:34:15 [...] illegal user bogalfb from 120.92.147.56
Mar 2 00:35:34 [...] root from 120.92.147.56
Mar 2 00:35:59 [...] illegal user admin from 120.92.147.56
Mar 3 13:35:35 [...] illegal user user from 103.200.23.124
Mar 4 19:47:59 [...] root from 111.207.23.140
Mar 5 02:09:39 [...] illegal user user from host2.awolphoto.com
Mar 5 16:02:33 [...] illegal user user from 103.221.221.189
Mar 7 04:43:38 [...] illegal user user from server28.pixeled.net
読みやすさのために行を切りました。最初の行全体は次のようになります。
Mar 2 00:21:11 phoenix sshd[94473]: error: PAM: authentication error for illegal user admin from 120.92.147.56
役に立たない部分を削除しました。
sudo blacklistctl dump-br
150.95.156.167/32:22 OK 2/1 1y3d22h45m57s
27.79.178.252/32:22 OK 2/1 1y3d29h16m55s
194.61.24.162/32:22 OK 40/1 20d2h19m32s
76.242.160.219/32:22 OK 2/1 22d42h8m58s
91.121.173.184/32:22 OK 2/1 2d12h1m40s
116.127.174.152/32:22 OK 2/1 7d34h39m45s
88.214.26.49/32:22 OK 62/1 9d11h56m22s
...
リストには1069個のエントリが含まれていますが、IPアドレスは含まれていません120.92.147.56。
質問
- 一部のIPアドレスは1年(それ以上)後に期限切れになりますが、他のIPアドレスはわずか数日(たとえば2日間)で期限切れになります。
- 一部のIPアドレス(例
120.92.147.56:)いいえ当然、リストに追加する必要があります。 - 一部のアドレスは、リストからブロックされるまで最大62回まで試行できます。
期待どおりに機能するには、構成に何が欠けていますか?
ベストアンサー1
私の構成はほぼ同じです。 /var/log/messages に sshd "...illegal user..." が表示されません。
唯一の違いは私のrc.confにあります。
blacklistd_flags="-r"
そしてpf.confにあります。変える
pass in on $intf proto tcp to ($intf) port 22
あなたはこれを考慮することができます
pass in on $intf proto tcp from any to any port ssh flags S/SA synproxy state
FWIW。構成を再現可能にするには、次を使用します。アンサーブルの役割
ノート
「88.214.26.49/32:22 OK 62/1 9d11h56m22s」の項目が疑わしいようです。最初の失敗後、ブラックリストに登録する必要があります。 62回の失敗をどのように達成しましたか?
アイテム「194.61.24.162/32:22 OK 40/1 20d2h19m32s」dtto
「365d」を無効にするように設定しましたが、上記の項目には残り時間(日)が表示されます。このアイテムは実際に11ヶ月以上ブラックリストに掲載されましたか?