Настройка системы и jails
Blacklistd
В базовой системе FreeBSD есть несколько интересных инструментов, которые устанавливаются автоматически. Один из них — blacklistd. Если вы использовали fail2ban, denyhosts или подобные инструменты, вы знаете, для чего это полезно. Но он интегрированный и лёгкий. Fail2ban, например, имеет тенденцию становиться тяжёлым и огромным, поскольку он читает файлы журналов. Blacklistd получает уведомление от демона, которого он защищает, поэтому нагрузка ниже. Чтобы включить blacklistd, добавьте в /etc/rc.conf:
# blacklistd_enable="YES" # blacklistd_flags="-r" # pflog_enable="YES"
(Я предполагаю, что вы уже добавили pf_enable="YES" при установке BastilleBSD. В противном случае вам также следует добавить это, если вы используете pf.
Теперь вы должны добавить это в pf.conf:
anchor "blacklistd/*" in on $ext_if
Где $ext_if — ваш внешний интерфейс.
Последний шаг, давайте перейдем к /etc/ssh/sshd_config и включим использование blacklistd:
UseBlacklist yes
Теперь перезагрузите/запустите pf, sshd, запустите pflog и blacklistd и подождите. Через некоторое время blacklistctl dump -r покажет вам некоторые данные.
Конечно, нужно сделать ещё много шагов, хост должен быть защищён, сеть должна быть настроена и защищена брандмауэром и т. д., но это основная идея того, как мы сохраняем наш хост как можно более стандартным, а затем создаем службы внутри jail.
Продолжение следует...
Перевод с некоторыми авторскими заголовками. Автор оригинала: Stefano Marinelli.