Virer les intrus
blacklistd(8) est un outil venu de netbsd qui, à la manière de fail2ban, va mettre sur les listes noires les adresses IP qui tentent de pénétrer vos systèmes.
Les services réseau vont contacter le démon blacklistd pour lui communiquer les coordonnées d'un pénible.
Service
Activez le service dans votre configuration:
- rc.conf.d/blacklistd
blacklistd_enable="YES" blacklistd_flags="-r"
Connectez SSH à blacklisd:
- rc.conf
sshd_flags="-o UseBlacklist=yes"
Consultez la liste avec blacklistctl(8):
$ blacklistctl dump
address/ma:port id nfail last access
118.175.7.132/32:22 1/3 2019/05/07 14:10:54
106.13.74.47/32:22 1/3 2019/05/08 03:03:10
190.144.232.122/32:22 1/3 2019/05/08 04:29:35
157.230.103.135/32:22 1/3 2019/05/07 17:41:41
155.94.146.167/32:22 1/3 2019/05/07 13:07:03
59.150.236.245/32:22 1/3 2019/05/08 06:26:35
41.65.67.165/32:22 1/3 2019/05/08 07:26:37
206.189.86.17/32:22 1/3 2019/05/08 10:56:26
Vous trouverez les traces de l'activité de blacklistd dans /var/log/daemon.log.
Parefeu
Blacklistd va enrichir une liste noire gérée par vos pare-feux.
packet filter
Ajoutez une table destinée à recevoir les IP de blacklistd.
- pf.conf
anchor "blacklistd/*" in on $ext_if
Consultez la liste des indésirables avec pfctl(8):
$ pfctl -a blacklistd/22 -t port22 -T show 112.151.228.30 113.228.20.96 120.31.136.32 211.109.96.118 217.77.221.85
ipfw
- /etc/ipfw-blacklist.rc
ipfw_offset=4000
Consultez le contenu de la table:
$ ipfw table port22 list 123.206.111.227/32 0
david