authpf-noip.8

AUTHPF(8)

FreeBSD System Manager's Manual

AUTHPF(8)

authpf 是用于验证网关的用户 shell。它用于在用户进行身份验证并使用 sshd(8) 启动会话时更改 pf(4) 规则，并在用户会话退出时撤消这些更改。典型用途是在允许用户使用 Internet 之前对用户进行身份验证的网关，或允许不同用户进入不同位置的网关。结合正确设置的过滤规则和安全开关， authpf 可用于确保用户对其网络流量负责。它适用于只能通过 ssh(1) 连接的用户，并且需要启用 pf(4) 子系统和安装在 /dev/fd 的 fdescfs(5) 文件系统。

authpf-noip 是一个用户 shell，它允许从同一个 IP 地址进行多个连接。它主要在通过网关系统建立隧道连接的情况下很有用，并且可以直接与用户名相关联。在按 IP 地址对连接进行分类时无法确保问责制；在这种情况下，客户端的 IP 地址不会通过 client_ip 宏或 authpf_users 表提供给数据包过滤器。此外，与客户端 IP 地址关联的状态在会话结束时不会被清除。

要使用 authpf 或 authpf-noip, 用户的 shell 需要设置为 /usr/sbin/authpf 或 /usr/sbin/authpf-noip 。

authpf 使用 pf.conf(5) 语法来更改单个用户或客户端 IP 地址的过滤器和转换规则，只要用户保持活动的 ssh(1) 会话，并将会话的成功开始和结束记录到 syslogd(8) 。 authpf 通过 SSH_CLIENT 环境变量检索客户端的连接 IP 地址，并在执行额外的访问检查后，读取模板文件以确定要添加的过滤器和转换规则（如果有），并在 authpf_users 表。在会话退出时，启动时添加的相同规则和表条目将被删除，并且与客户端 IP 地址关联的所有状态都将被清除。

每个 authpf 进程将其规则存储在所有 authpf 进程共享的 pf(4) anchor 内的单独规则集中。默认情况下，使用 anchor 名称 "authpf" ，并且规则集名称等于 authpf 进程的用户名和 PID，如 "username(pid)" 。需要将以下规则添加到主规则集 /etc/pf.conf 以评估任何 authpf 规则：

nat-anchor "authpf/*" rdr-anchor "authpf/*" binat-anchor "authpf/*" anchor "authpf/*"

pf(4) 需要锚名称末尾的 "/*" 来处理 authpf 附加到锚的规则集。

过滤和翻译规则

authpf 的过滤器和翻译规则使用 pf.conf(5) 中描述的相同格式。唯一的区别是这些规则可能（并且可能应该）使用宏 user_ip, 只要运行 authpf 就会为其分配连接 IP 地址。此外，宏 user_id 被分配了用户名。

过滤器和翻译规则存储在名为 authpf.rules 的文件中。该文件将首先在 /etc/authpf/users/$USER/ 中搜索，然后在 /etc/authpf/ 中搜索。如果两个文件都存在，则只使用其中一个文件。

/etc/authpf/users/$USER/ 目录中的每用户规则旨在用于单个用户需要非默认规则时。确保用户不能编写或更改这些配置文件非常重要。

authpf.rules 文件必须存在于上述位置之一才能运行 authpf 。

配置

选项由 /etc/authpf/authpf.conf 文件控制。如果文件为空，则所有配置选项都使用默认值。该文件由 name=value 形式的对组成，每行一个。目前，允许的值如下：

anchor=name

使用指定的 anchor 名称而不是 "authpf" 。

table=name

使用指定的 table 名而不是 "authpf_users" 。

用户留言

成功调用后， authpf 会显示一条消息，告诉用户他或她已通过身份验证。如果文件存在并且可读，它将另外显示文件 /etc/authpf/authpf.message- 的内容。

有两种方法可以为 authpf 提供的控制提供额外的粒度 - 可以将网关设置为显式允许已通过 ssh(1) 进行身份验证的用户并仅拒绝少数麻烦的个人访问。这是通过在 /etc/authpf/banned/ 中创建一个以被禁止用户的登录名作为文件名的文件来完成的。该文件的内容将显示给被禁止的用户，从而提供一种方法来通知用户他们已被禁止，如果他们想要恢复服务，他们可以去哪里以及如何到达那里。这是默认行为。

也可以将 authpf 配置为仅允许特定用户访问。这是通过在 /etc/authpf/authpf.allow 中列出他们的登录名（每行一个）来完成的。一组用户也可以通过在组名前加 "%" 来表示，登录类的所有成员可以通过在登录类名前加 "@" 来表示。如果在一行中找到 "*" ，则所有用户名都匹配。如果 authpf 无法验证用户使用网关的权限，它将打印一条简短消息并死掉。应该注意的是，禁令优先于允许。

失败时，系统管理员会将消息记录到 syslogd(8) 。用户看不到这些，但会被告知系统由于技术问题不可用。如果文件存在并且可读，那么文件 /etc/authpf/authpf.problem 的内容也会显示出来。

配置问题

authpf 只要用户保持活动会话，authpf 就会保持更改后的过滤规则。然而，重要的是要记住，此会话的存在意味着用户已通过身份验证。因此，配置 sshd(8) 以确保会话的安全以及确保用户连接的网络是安全的非常重要。 sshd(8) 应配置为使用 ClientAliveInterval 和 ClientAliveCountMax 参数，以确保 ssh 会话在无响应或使用 arp 或地址欺骗劫持会话时快速终止。请注意，TCP keepalives 是不够的，因为它们不安全。另请注意，应为 authpf 用户禁用各种 SSH 隧道机制，例如 AllowTcpForwarding 和 PermitTunnel, 以防止他们规避数据包过滤规则集施加的限制。

authpf 将删除在用户会话期间创建的状态表条目。这确保了在控制 ssh(1) 会话关闭后不会有未经身份验证的流量通过。

authpf 专为网关机器而设计，这些机器通常没有常规（非管理）用户使用该机器。管理员必须记住， authpf 可用于通过其运行环境修改过滤规则，因此可用于普通用户修改过滤规则（基于配置文件的内容）。在机器有普通用户使用它的情况下，以及使用 authpf 作为其 shell 的用户，应通过使用 /etc/authpf/authpf.allow 或 /etc/authpf/banned/ 来阻止普通用户运行 authpf 设施。

authpf 修改包过滤和地址转换规则，因此需要仔细配置。如果 /etc/authpf/authpf.conf 文件不存在， authpf 将不会运行并静默退出。在考虑 authpf 对主要数据包过滤规则的影响后，系统管理员可以通过创建适当的 /etc/authpf/authpf.conf 文件来启用 authpf 。

实例

Control Files - 为了说明用户特定的访问控制机制，让我们考虑一个名为 bob 的典型用户。通常，只要 bob 可以验证自己， authpf 程序就会加载相应的规则。进入 /etc/authpf/banned/ 目录。如果鲍勃在当权者眼中失宠，他们可以通过创建文件 /etc/authpf/banned/bob 来禁止他使用网关，该文件包含一条关于为什么他被禁止使用网络。一旦 bob 完成了适当的忏悔，他的访问权可以通过移动或删除文件 /etc/authpf/banned/bob 来恢复。

现在考虑一个包含 alice、bob、carol 和 dave 的工作组。他们有一个无线网络，他们希望保护它免受未经授权的使用。为此，他们创建了文件 /etc/authpf/authpf.allow ，其中列出了他们的登录 ID、以 "%" 开头的组或以 "@" 开头的登录类，每行一个。此时，即使 eve 可以通过 sshd(8) 进行身份验证，她也不会被允许使用网关。在工作组中添加和删除用户是维护允许的用户标识列表的简单问题。如果 bob 再次惹恼了当权者，他们可以通过创建熟悉的 /etc/authpf/banned/bob 文件来禁止他使用网关。尽管 bob 已在允许文件中列出，但由于存在禁止文件，他无法使用此网关。

Distributed Authentication - 通常需要与分布式密码系统交互，而不是强制系统管理员保持大量本地密码文件同步。 OpenBSD 中的 login.conf(5)- 机制可用于 fork 正确的 shell。为了实现这一点， login.conf(5) 应该有如下所示的条目：

shell-default:shell=/bin/csh default:\ ... :shell=/usr/sbin/authpf daemon:\ ... :shell=/bin/csh:\ :tc=default: staff:\ ... :shell=/bin/csh:\ :tc=default:

使用默认密码文件，所有用户都将获得 authpf 作为他们的 shell，除了将获得 /bin/csh 的 root。

SSH Configuration - 如前所述，必须正确配置 sshd(8) 以检测和阻止网络攻击。为此，应将以下选项添加到 sshd_config(5):

Protocol 2 ClientAliveInterval 15 ClientAliveCountMax 3

这可确保在一分钟内终止无响应或欺骗会话，因为劫持者不应该能够欺骗 ssh keepalive 消息。

Banners - 一旦通过身份验证，就会向用户显示 /etc/authpf/authpf.message 的内容。此消息可能是一个完整的屏幕，其中包含适当的使用策略、 /etc/motd 的内容或如下所示的简单内容：

这意味着您将被以下权力追究责任对于来自您的机器的流量，所以请玩好。

为了告诉用户在系统崩溃时去哪里， /etc/authpf/authpf.problem 可以包含如下内容：

Sorry, there appears to be some system problem. To report this problem so we can fix it, please phone 1-900-314-1597 or send an email to [email protected].

Packet Filter Rules - 在此网关用于保护无线网络（具有数百个端口的集线器）的区域中，默认规则集以及每个用户的规则应该允许除了加密协议（如 ssh(1), ssl(8) 或 ipsec(4) 。在安全交换的网络上，为获得身份验证帐户的访问者提供插件插孔，您可能希望允许所有内容。在这种情况下，安全开关是一种试图防止地址表溢出攻击的开关。

示例 /etc/pf.conf:

# by default we allow internal clients to talk to us using # ssh and use us as a dns server. internal_if="fxp1" gateway_addr="10.0.1.1" nat-anchor "authpf/*" rdr-anchor "authpf/*" binat-anchor "authpf/*" block in on $internal_if from any to any pass in quick on $internal_if proto tcp from any to $gateway_addr \ port = ssh pass in quick on $internal_if proto udp from any to $gateway_addr \ port = domain anchor "authpf/*"

For a switched, wired net - 这个例子 /etc/authpf/authpf.rules 没有真正的限制；它打开和关闭 IP 地址，记录 TCP 连接。

external_if = "xl0" internal_if = "fxp0" pass in log quick on $internal_if proto tcp from $user_ip to any pass in quick on $internal_if from $user_ip to any

For a wireless or shared net - 此示例 /etc/authpf/authpf.rules 可用于不安全的网络（例如公共无线网络），我们可能需要更多限制。

internal_if="fxp1" ipsec_gw="10.2.3.4" # rdr ftp for proxying by ftp-proxy(8) rdr on $internal_if proto tcp from $user_ip to any port 21 \ -> 127.0.0.1 port 8021 # allow out ftp, ssh, www and https only, and allow user to negotiate # ipsec with the ipsec server. pass in log quick on $internal_if proto tcp from $user_ip to any \ port { 21, 22, 80, 443 } pass in quick on $internal_if proto tcp from $user_ip to any \ port { 21, 22, 80, 443 } pass in quick proto udp from $user_ip to $ipsec_gw port = isakmp pass in quick proto esp from $user_ip to $ipsec_gw

Dealing with NAT - 以下 /etc/authpf/authpf.rules 显示了如何使用标记处理 NAT：

ext_if = "fxp1" ext_addr = 129.128.11.10 int_if = "fxp0" # nat and tag connections... nat on $ext_if from $user_ip to any tag $user_ip -> $ext_addr pass in quick on $int_if from $user_ip to any pass out log quick on $ext_if tagged $user_ip

使用 authpf 添加的上述规则，对应于每个用户的 NAT 连接的出站连接将被记录，如下例所示，其中用户可以从规则集名称中识别。

# tcpdump -n -e -ttt -i pflog0 Oct 31 19:42:30.296553 rule 0.bbeck(20267).1/0(match): pass out on fxp1: \ 129.128.11.10.60539 > 198.137.240.92.22: S 2131494121:2131494121(0) win \ 16384 <mss 1460,nop,nop,sackOK> (DF)

Using the authpf_users table - 只需使用- "authpf_users" table 即可在没有锚点的情况下实现简单的 authpf 设置。例如，以下 pf.conf(5) 行将为登录用户提供 SMTP 和 IMAP 访问权限：

table <authpf_users> persist pass in on $ext_if proto tcp from <authpf_users> \ to port { smtp imap }

还可以将 "authpf_users" table 与锚点结合使用。例如，可以通过仅查找来自登录用户的数据包的锚来加快 pf(4) 处理：

table <authpf_users> persist anchor "authpf/*" from <authpf_users> rdr-anchor "authpf/*" from <authpf_users>

Tunneled users - 通常 authpf 只允许每个客户端 IP 地址进行一个会话。但是，在某些情况下，例如通过 ssh(1) 或 ipsec(4) 建立隧道连接时，可以根据用户的用户 ID 而不是客户端 IP 地址来授权连接。在这种情况下，使用 authpf-noip 允许 NAT 网关后面的多个用户进行连接是合适的。在下面的 /etc/authpf/authpf.rules 示例中，远程用户可以通过隧道将远程桌面会话连接到他们的工作站：

internal_if="bge0" workstation_ip="10.2.3.4" pass out on $internal_if from (self) to $workstation_ip port 3389 \ user $user_id

文件

/etc/authpf/authpf.conf

/etc/authpf/authpf.allow

/etc/authpf/authpf.rules

/etc/authpf/authpf.message

/etc/authpf/authpf.problem

January 29 2014

FreeBSD 13.1-RELEASE

上一页adduser.8 下一页authpf.8

最后更新于1年前

这有帮助吗？

authpf-noip.8

名称

概要

描述

过滤和翻译规则

配置

用户留言

配置问题

实例

文件

参见

历史

缺陷