PF防火牆,技術VS架設應用
我有考慮到一台server單單使用 OpenBSD系統,然後長期工作下,硬碟的物理性,其實可以使用固態的記憶卡取代,因為重點是在安全,但單單從使用LOADING上是不致於太大的,且應該說可能會很小,所以firewall上的安排就給它使用CF卡,一來省電,二來維護也同樣方使,安全則是一樣,嚴格地說...安全跟CF卡沒太大關係,提到了安全,還是必須說回OpenBSD本身的使用及設定。 OpenBSD天生就是為了擔任FIREWALL而存在的,重要的PF是重點中的重點,一般而言更是用不到全部的功能,至少對我而言是如此,除非是大企業囉,那PF的價值自然會高出很多,因為安全無價嘛。 看LOG檔會發現,有一些不該用的使用者名,就不要貪著方便而使用,admin 或 weblogic 或 mysql等...每天都有人在try。 用PF擋了它,實在很方便。 更多的技術參考之前寫過的文章,可看這篇 http://renyii.3bug.com/?p=14 或以下 sshguard-pf 配合 pf # cd /usr/ports/security/sshguard-pf pf重載入規刖,syslogd也一樣: 看到/var/log/auth.log裡面有出現下列訊息就是成功了: Aug 17 15:02:40 rsync_taipie sshguard[844]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan. 另外. # pfctl -Tshow -tsshguard (可以看看是否 table 內已有 block)
# make install clean
# vim /etc/syslog.conf
把”#auth.info;authpriv.info |exec /usr/local/sbin/sshguard”這行前面的註解消掉。
# vim/etc/pf.conf
加入:
table <sshguard> persist
block in quick on $ext_if from <sshguard> label "ssh bruteforce"
# pfctl -f /etc/pf.conf
# /etc/rc.d/syslogd restart