防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
( W0 w7 {( p$ q! r
#logtarget = SYSLOG
% f% `; x- e6 w3 O3 C
#調整後的參數8 M) t; s" {9 \ x0 M
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
( V8 U2 T# X. i% D
#backend = auto " h% `9 ~8 b+ _( U# \
#調整後的參數8 Z9 k @. U4 a) D: {* W8 Z
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]' R+ v: {! Z) \1 k
#是否啟用% t. w- d3 J5 x* t& b; |7 ~# G3 O
enabled = true; g; {6 c D8 } n
#過濾名稱，使用預設的即可
' [9 |& b) w3 e' _. r
filter = sshd( ~0 E# ^" t# J# l( d
#iptables設定
1 g; @( Y7 @( o& I6 L4 Q
action = iptables[name=SSH, port=22022, protocol=tcp]
; d `: Z( g' X7 A- F% W% g# Z& a
#發生阻擋時的寄信設定
Y: `/ g( x& {! j0 z
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ A& o7 ?4 c5 ?7 K
: Z* Y7 {7 C3 n0 {' P( W. p- r9 s
#需要掃描的記錄檔
; M M% D& N6 Q. ^8 s
logpath = /var/log/secure3 U/ Z( R: b4 {+ l
#最高嘗試錯誤次數
9 O* o8 S- N7 ^3 o1 D
maxretry = 29 n2 L0 ?* ^+ A( u: D9 ]8 N8 T' }
#阻擋的時間，-1表示永久阻擋+ p: z1 V: I7 L7 H" ]- ^
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {. r2 A. Z) G5 J# X% q5 w
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: ". F& {, R% g6 _+ _2 k2 M% j- {
getpid
) g8 I9 a2 E8 g& Z+ T
if [ -z "$pid" ]; then
, ~: h- `6 Z* f! b% z" o
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
6 I7 J5 g; _4 i" M
$FAIL2BAN -x start > /dev/null
# _8 `6 x" M; {) z# k, R+ J) v
RETVAL=$?8 q8 K" z/ h) @/ n: J/ ?! Z4 \
fi
r7 T) p" a' g6 B6 H% @: S2 |
if [ $RETVAL -eq 0 ]; then
$ q1 N% z! q: S6 K+ Q
touch /var/lock/subsys/fail2ban
: Y& w* ]) c2 D/ u
echo_success
+ d- W! Q- } }6 a8 m! u3 ?
/sbin/service iptables restart # reloads previously banned ip's
# R9 E( B) O0 H5 ^: O
else0 h( q' E4 F' G* U8 c; a
echo_failure H3 a2 t8 y' L6 h
fi
) w* m, [0 I/ D/ M! H8 y4 ~% a: m# ^
- c2 _9 {: E( U% y
echo
# p, Z$ t' F/ A! Y! ` v L* F1 \
return $RETVAL; @8 n9 r- f1 \. T! @* i% a7 ~. t
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
7 u. ~* B0 U J4 H; [) c
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "% y' L* P" i t3 z. j8 M
getpid6 N$ e% \' J3 B
RETVAL=$?
, {7 n( l8 g+ M; j1 s5 q
if [ -n "$pid" ]; then
$ v+ F% m4 M0 F; |* T( l
/sbin/service iptables save # saves banned ip's
& N6 ?! n) S i* j
$FAIL2BAN stop > /dev/null. G8 c) [1 m/ ^: `5 f2 y: E3 A
sleep 1
# q* c/ a1 Q- t# Y, ]
getpid8 b7 B8 L0 m: {8 E; ]9 B
if [ -z "$pid" ]; then0 t3 q" d9 \3 B4 ?& K/ [
rm -f /var/lock/subsys/fail2ban# n8 \2 N% } j6 M# t, ~
echo_success
) I1 {' k* m3 n* d0 u
else5 Q9 ^3 u; _ F6 L* N1 _
echo_failure
6 o( e) J$ n! U8 ?* C1 N, ^4 e
fi$ d i, o6 M* d+ h6 N7 c) \3 ?1 C# e
else
( v6 P1 s/ Q1 \- C/ T% _
echo_failure* I; K5 R2 {& t/ h' v( b% B
fi* t9 G: m6 }0 K0 C- D8 }
echo' A' b6 G5 T# ^ _
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定