防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數* u2 a% z$ T8 Z5 s
#logtarget = SYSLOG4 {5 n0 T0 C2 k u
#調整後的參數
1 o7 \0 I( G8 o3 ~$ d+ f/ l' j3 [
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數$ a. k- @5 _% @+ l' p5 z; C" J
#backend = auto 6 u E7 V8 @ G) @
#調整後的參數- F" @8 k1 S1 O+ q7 k6 s
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables] U( }9 \' a$ `, m o
#是否啟用% B8 o( v% e9 e7 X+ r
enabled = true
) ~3 V! Y9 M9 K' }
#過濾名稱，使用預設的即可
2 T {" \" C& Z5 L
filter = sshd. H7 D* B3 ^. z( V/ I, _" H& F. W( n
#iptables設定
. D; O+ X( f, J$ K
action = iptables[name=SSH, port=22022, protocol=tcp]8 k$ {# `0 M% F; q$ R
#發生阻擋時的寄信設定9 X7 C& n& J8 ^9 Z; x! E
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
* F, d- a! c" c' z% w
9 T1 ?2 K, R" l3 n
#需要掃描的記錄檔; U" \, z4 W* p% ~4 }1 Q
logpath = /var/log/secure- h% J9 ?9 D1 p# Q
#最高嘗試錯誤次數0 y: G6 O8 \% \* j3 p: d- ]
maxretry = 2! U* [& f! p9 D" \
#阻擋的時間，-1表示永久阻擋* a- j4 l7 D/ J$ H& x
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {- T! m( N$ Z- ]4 `* z# o
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
6 R+ Y: P" r8 O- D5 W
getpid. A, f, b/ y( Z5 l, F
if [ -z "$pid" ]; then- O" c/ }) ]% M/ d/ i0 f
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban, ^0 p' J E+ D+ a1 V. h8 I
$FAIL2BAN -x start > /dev/null9 Y: ]& `( Q, a
RETVAL=$?7 L6 K! G9 n; X+ ?# n2 T5 A! x$ H0 S4 u
fi$ Q& M2 @9 r2 K/ L& x% h
if [ $RETVAL -eq 0 ]; then
- _: O6 H, H7 ~5 `4 \
touch /var/lock/subsys/fail2ban' ~9 S& H6 I( W! A' O
echo_success
+ ]% S, F( @1 ~3 c
/sbin/service iptables restart # reloads previously banned ip's1 [- c' U- Y/ Y
else
- g0 K( K; R0 W4 p; V
echo_failure1 K, Q( k! b* h U
fi! ` v" V7 Y% z
$ f3 t, r0 E; Z, T8 }6 X" \9 R
echo
, ?1 u/ X+ p- H
return $RETVAL! }& _- V9 n: O% H D
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {. k8 I0 |0 L( O% g3 t. d
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
7 F V% X8 \5 M1 j* y3 i: n
getpid: M$ R- C0 s8 H7 X
RETVAL=$?8 `# ^/ D7 ^7 v7 s8 G2 P9 o
if [ -n "$pid" ]; then
% i* [9 @& Q5 D8 v6 `
/sbin/service iptables save # saves banned ip's* o# H, q$ m5 U2 e7 z! Q/ ~4 h5 K
$FAIL2BAN stop > /dev/null
% T/ ]; O6 t( c3 f6 L- e
sleep 1
2 }) W# Y, Y9 V) ~. U/ C( R# S- }
getpid
; C$ V2 v+ f: P) w
if [ -z "$pid" ]; then
, I+ @0 W3 L# y8 d9 F# o
rm -f /var/lock/subsys/fail2ban
4 ] K3 F) U" q9 P/ ]) r
echo_success0 `( O7 `: \! [& Q9 ?5 p3 ~" U( x" M
else
8 R& R( u. R3 W4 b# o
echo_failure) R3 N' {# F/ g6 i3 h) I
fi7 c4 P2 w5 S4 T j. ~2 x
else
1 ?/ R4 {$ F: z8 B
echo_failure
! F2 [# F4 I4 X/ C: m, G
fi
& R$ m. }; Y" F( B6 e. p
echo
. O- F2 Z& O! i8 ]6 [% h9 f
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定