Table des matières

Virer les intrus

blacklistd(8) est un outil venu de netbsd qui, à la manière de fail2ban, va mettre sur les listes noires les adresses IP qui tentent de pénétrer vos systèmes.

Les services réseau vont contacter le démon blacklistd pour lui communiquer les coordonnées d'un pénible.

Service

Activez le service dans votre configuration:

rc.conf.d/blacklistd
blacklistd_enable="YES"
blacklistd_flags="-r"

Connectez SSH à blacklisd:

rc.conf
sshd_flags="-o UseBlacklist=yes"

Consultez la liste avec blacklistctl(8):

$ blacklistctl dump
        address/ma:port	id	nfail	last access
  118.175.7.132/32:22		1/3	2019/05/07 14:10:54
   106.13.74.47/32:22		1/3	2019/05/08 03:03:10
190.144.232.122/32:22		1/3	2019/05/08 04:29:35
157.230.103.135/32:22		1/3	2019/05/07 17:41:41
 155.94.146.167/32:22		1/3	2019/05/07 13:07:03
 59.150.236.245/32:22		1/3	2019/05/08 06:26:35
   41.65.67.165/32:22		1/3	2019/05/08 07:26:37
  206.189.86.17/32:22		1/3	2019/05/08 10:56:26

Vous trouverez les traces de l'activité de blacklistd dans /var/log/daemon.log.

Parefeu

Blacklistd va enrichir une liste noire gérée par vos pare-feux.

packet filter

Ajoutez une table destinée à recevoir les IP de blacklistd.

pf.conf
anchor "blacklistd/*" in on $ext_if

Consultez la liste des indésirables avec pfctl(8):

$ pfctl -a blacklistd/22 -t port22 -T show
  112.151.228.30
  113.228.20.96
  120.31.136.32
  211.109.96.118
  217.77.221.85

ipfw

/etc/ipfw-blacklist.rc
ipfw_offset=4000

Consultez le contenu de la table:

$ ipfw table port22 list
123.206.111.227/32 0

En savoir plus