質問

2024-06-23 • tag-icon

有効にしましたPF(4) ファイアウォールそしてブラックリスト(8)。 IPアドレスがブラックリストに追加されたにもかかわらず、単一のIPアドレスで複数回試行が失敗しました。しかし、直接テストしてみると、私のIPアドレスが正しくブラックリストに追加されました。ブラックリストに追加され、接続を開始できなくなりました。

/etc/rc.conf:

blacklistd_enable="YES"
pf_enable="YES"

/etc/blacklistd.conf:

# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       1       365d
# Extra lines removed

/etc/ssh/sshd_config:

...
UseBlacklist Yes
...

/etc/pf.conf:

intf="wlan0"
set skip on { lo0, em0 }

# Packet normalization
scrub in

# Integrate blacklistd to protect sshd
anchor "blacklistd/*" in on $intf

### FIREWALL RULES

# Default firewall rules
block in
pass out
# Allow inbound SSH on the default port (22)
pass in on $intf proto tcp to ($intf) port 22
# Allow basic ICMP functionality
pass in on $intf inet proto icmp to ($intf) icmp-type { unreach, redir, timex, echoreq }

grep sshd /var/log/messages | grep sshd /var/log/messages | grep sshd /var/log/messages tail-20

Mar  2 00:21:11 [...] illegal user admin from 120.92.147.56
Mar  2 00:21:30 [...] illegal user alix from 120.92.147.56
Mar  2 00:21:51 [...] illegal user gotubego from 120.92.147.56
Mar  2 00:23:35 [...] illegal user tsbot from 120.92.147.56
Mar  2 00:23:40 [...] illegal user spravce from 120.92.147.56
Mar  2 00:25:34 [...] root from 120.92.147.56
Mar  2 00:25:57 [...] illegal user admin from 120.92.147.56
Mar  2 00:27:29 [...] illegal user admin from 120.92.147.56
Mar  2 00:29:13 [...] root from 120.92.147.56
Mar  2 00:30:06 [...] root from 120.92.147.56
Mar  2 00:33:09 [...] illegal user admin from 120.92.147.56
Mar  2 00:33:23 [...] illegal user admin from 120.92.147.56
Mar  2 00:34:15 [...] illegal user bogalfb from 120.92.147.56
Mar  2 00:35:34 [...] root from 120.92.147.56
Mar  2 00:35:59 [...] illegal user admin from 120.92.147.56
Mar  3 13:35:35 [...] illegal user user from 103.200.23.124
Mar  4 19:47:59 [...] root from 111.207.23.140
Mar  5 02:09:39 [...] illegal user user from host2.awolphoto.com
Mar  5 16:02:33 [...] illegal user user from 103.221.221.189
Mar  7 04:43:38 [...] illegal user user from server28.pixeled.net

読みやすさのために行を切りました。最初の行全体は次のようになります。

Mar  2 00:21:11 phoenix sshd[94473]: error: PAM: authentication error for illegal user admin from 120.92.147.56

役に立たない部分を削除しました。

sudo blacklistctl dump-br

 150.95.156.167/32:22   OK      2/1     1y3d22h45m57s
  27.79.178.252/32:22   OK      2/1     1y3d29h16m55s
  194.61.24.162/32:22   OK      40/1    20d2h19m32s
 76.242.160.219/32:22   OK      2/1     22d42h8m58s
 91.121.173.184/32:22   OK      2/1     2d12h1m40s
116.127.174.152/32:22   OK      2/1     7d34h39m45s
   88.214.26.49/32:22   OK      62/1    9d11h56m22s
...

リストには1069個のエントリが含まれていますが、IPアドレスは含まれていません120.92.147.56。

質問

一部のIPアドレスは1年（それ以上）後に期限切れになりますが、他のIPアドレスはわずか数日（たとえば2日間）で期限切れになります。
一部のIPアドレス（例120.92.147.56：）いいえ当然、リストに追加する必要があります。
一部のアドレスは、リストからブロックされるまで最大62回まで試行できます。

期待どおりに機能するには、構成に何が欠けていますか？

ベストアンサー1

私の構成はほぼ同じです。 /var/log/messages に sshd "...illegal user..." が表示されません。

唯一の違いは私のrc.confにあります。

blacklistd_flags="-r"

そしてpf.confにあります。変える

pass in on $intf proto tcp to ($intf) port 22

あなたはこれを考慮することができます

pass in on $intf proto tcp from any to any port ssh flags S/SA synproxy state

FWIW。構成を再現可能にするには、次を使用します。アンサーブルの役割

ノート

「88.214.26.49/32:22 OK 62/1 9d11h56m22s」の項目が疑わしいようです。最初の失敗後、ブラックリストに登録する必要があります。 62回の失敗をどのように達成しましたか？
アイテム「194.61.24.162/32:22 OK 40/1 20d2h19m32s」dtto
「365d」を無効にするように設定しましたが、上記の項目には残り時間（日）が表示されます。このアイテムは実際に11ヶ月以上ブラックリストに掲載されましたか？