6 votos

Monika Sulik avatar

Cómo configurar el firewall de adaptación

Preguntado el 12 de Enero, 2017
Cuando se hizo la pregunta
245 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

He seguido este enlace: Encienda la adaptación del firewall en el Servidor de macOS

y me da este resultado, pero no sé si es cierto, he activado la adaptación del firewall:

No ALTQ support in kernel
ALTQ related functions disabled
No ALTQ support in kernel
ALTQ related functions disabled
pf enabled
Token : 13540967312582709951
No ALTQ support in kernel
ALTQ related functions disabled

Yo quiero que la adaptación del firewall automáticamente agregar usuarios con varios intentos fallidos de inicio de sesión.

He añadido correctamente una dirección IP para el servidor de seguridad de la lista negra, pero yo no era capaz de ver en hb_summary, no sé si se supone que es para mostrar manualmente agregado de IP de allí. Y no fue añadiendo automáticamente cuando yo supuestamente lo encendió.

Hubo un ataque de fuerza bruta a mi IMAPs puerto, y mi adaptación firewall no fue agregando que IP en la lista negra. Sólo postfix estaba tratando con él haciendo un error fatal a causa de muchos errores, y el programa termina, pero sólo fue por un período muy corto de tiempo.

Servidor de especificaciones:

  • Servidor.aplicación 3.2.2
  • Mac OS X 10.9.5
Preguntado el 12 de Enero, 2017 por Monika Sulik

Respuesta

¿Demasiados anuncios?

3voto

klanomath avatar
klanomath Puntos 19587

Después de bucear en la Adaptación del Firewall , una vez más, tengo la impresión de que todo el sistema es imperfecto y la documentación es un lío.

El comando .../hb_summary al parecer no funciona en todos, porque parece que se basan en el archivo /private/var/db/af/blockedHosts llegar pobladas por ipfw que no se activa en 10.9 (y no trabajar con el 400.AdaptiveFirewall de anclaje). pf no utiliza el archivo blockedHosts a todos.

Lo mejor que puedes hacer es la siguiente:

  • Permitir la Adaptación del servicio de Firewall

    sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/serverctl enable service=com.apple.afctl

  • Rellenar la lista blanca con

    sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -c

  • Definir max mal auth intentos (por ejemplo, 3) y la prohibición de tiempo (por ejemplo, 60 minutos)

    sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T 3
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -H 60

    Esto va a modificar el archivo /Aplicaciones/Servidor.app/Contents/ServerRoot/private/etc/emond.d/reglas/AdaptiveFirewall.plist.

    Compruebe el mod con:

    sudo grep -m 2 -A 4 hostBlockThreshold /Applications/Server.app/Contents/ServerRoot/private/etc/emond.d/rules/AdaptiveFirewall.plist
  • Relanzamiento de emond: sudo killall emond

  • Agregar conocido hosts malos por un largo tiempo:

    sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -a 104.16.35.178 -t 1000000

    (Por favor, ser conscientes de la y2038 problema). Esto va a modificar el archivo /private/var/db/af/blacklist. Aloja aquí no suelen sobrevivir a un reinicio.

  • Af de inicio con sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f

  • Bloqueado hosts entrar en:

    sudo pfctl -a com.apple/400.AdaptiveFirewall -t blockedHosts -T show -vvv

    Para obtener pf del estado escriba sudo pfctl -s all.

Esto es probado con hostil ssh y openssl s_client -connect imapserver_ip:993 intentos de inicio de sesión.

Después de un reinicio de la .../afctl -f comando iniciará pf y af pero, al menos en uno de dos casos de que no bloquee hostil intentos de inicio de sesión a pesar de que anunció que en el archivo de registro.

Mejoras:

Después de la modificación de las claves debugLevel y logEvents en el archivo /etc/emond.d/emond.plist,:

    ...
    <key>debugLevel</key>
    <integer>3</integer>
    ...
    <key>logEvents</key>
    <true/>
    ...

crear el archivo /System/Library/LaunchDaemons/com.apple.afctl_boot.plist con el contenido:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Disabled</key>
    <false/>
    <key>Label</key>
    <string>com.apple.afctl_boot</string>
    <key>Program</key>
    <string>/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl</string>
    <key>ProgramArguments</key>
    <array>
        <string>/Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl</string>
        <string>-f</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

y lo carga con:

sudo launchctl load /System/Library/LaunchDaemons/com.apple.afctl_boot.plist

parece que funciona de manera más confiable. La Adaptación del Firewall será cargado en el momento de arranque. No hay más afctl lanzamiento de comandos es necesario!

Respondido el 14 de Enero, 2017 por klanomath (19587 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X