防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數8 t/ k# ~ I, m! V3 C" [0 F3 Q- m2 p
#logtarget = SYSLOG7 L' F) ~2 ?5 n. L2 |% i: l L
#調整後的參數
* x+ x: f( {, R) I+ H% {
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數, o5 |% [1 w, x; m
#backend = auto
9 b3 n" {; T/ \! q! C2 t# Z7 P
#調整後的參數" @1 _5 q+ m' z( g
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
: f5 q: u" C- H; _ p3 V1 v
#是否啟用+ _% Q# y& K6 _; {- }) C
enabled = true5 J; M% \: P" G* K
#過濾名稱，使用預設的即可3 q# Y }0 o3 c
filter = sshd7 ~- x/ c: K. D: w; P) `
#iptables設定6 ?$ c( v0 a$ Q$ }) Z
action = iptables[name=SSH, port=22022, protocol=tcp]0 P9 {. r ?, v M6 W8 y& f' ^
#發生阻擋時的寄信設定
- k c' A3 E/ J% @2 }5 O
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
( s- ]5 d7 j- r' g# W1 f2 D5 K
# W1 Y' _# t* ^4 I d3 r2 o/ O& d
#需要掃描的記錄檔
, R, ]# ~3 B4 d. U8 V* q2 g
logpath = /var/log/secure
3 F3 M6 u$ }0 x. h4 u8 P' q3 a
#最高嘗試錯誤次數
/ ^! T2 g9 ]8 ]$ q. o$ {, D. h
maxretry = 2) H' i* {5 K$ A$ S9 o" L& q3 z
#阻擋的時間，-1表示永久阻擋
9 D8 D* v( o4 z, E' y: D' v
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
- |% ~; T' L3 v
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
/ d) c, e- _0 s) L, v4 w" g
getpid7 c3 `( S) F* o6 P# D$ ^
if [ -z "$pid" ]; then
# t4 B4 `0 r. }* L! V3 I5 ]
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban; s+ r- p- H: q# y$ |+ b! x
$FAIL2BAN -x start > /dev/null
! W$ T/ C: z: z0 {
RETVAL=$?
0 v w3 D, I$ H9 J5 |4 e {
fi9 a+ [7 H! t) S9 j# I; V. C9 ?
if [ $RETVAL -eq 0 ]; then
7 r( f4 B4 K0 \$ `7 H1 j% V
touch /var/lock/subsys/fail2ban
2 f# u% E x3 ~6 L
echo_success
( l4 e% B) v* N
/sbin/service iptables restart # reloads previously banned ip's
8 O/ H6 q) t& Q. s/ ^
else- B& |1 I- l# Y0 i
echo_failure
: [2 h6 t6 h9 w. @, y4 y( }; s) K( l
fi
" o! F# u f1 z' m* z
. S. f( b7 t1 H2 q
echo' I U; [3 C5 c! S
return $RETVAL
+ c* l- ^) i4 S: e, b9 Z
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {8 c* Y" M: L8 {6 A8 [1 P# w
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
% E! N: A- |0 T
getpid
* Y' b* }$ I; \* y
RETVAL=$?+ u6 l$ \( C7 X9 h
if [ -n "$pid" ]; then
: H2 d* o4 t' t6 Z- \
/sbin/service iptables save # saves banned ip's, H' Z/ |6 X" I5 y2 F! S0 P
$FAIL2BAN stop > /dev/null4 T9 L8 j& |6 Y
sleep 1$ c1 r& c7 l% f% }4 L9 P3 o; }
getpid
9 b, x& |- b' Y. E" _5 I! Z9 r
if [ -z "$pid" ]; then
" D7 w/ F o- n, A* T
rm -f /var/lock/subsys/fail2ban. U6 [ I, h0 Z% e; ^2 Y o
echo_success7 V/ ^5 R# e! E' `
else
. @* D& a. t; m; Z2 ]
echo_failure
. H" L3 h7 V. N- d- w; I9 U
fi
5 u% M) v) ]* o- P
else1 {1 w( h# B A8 x
echo_failure' O) d6 ] U- Z4 Q
fi# B; i0 A& A% T" Q2 K: U
echo
/ A u/ G& j9 n: |( s2 Y1 L; a3 d
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定