防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數" h/ t: n. O; V
#logtarget = SYSLOG
, |2 f+ W# ?- y5 |9 s1 ]3 J
#調整後的參數: A! r7 X j/ s' v; f; t- |
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數6 h+ b# y8 y4 ]. v& F
#backend = auto
; X3 J2 Q2 a/ q t' K
#調整後的參數% M9 O; h% u; {3 ^7 W" [1 L! w8 o" K
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
( J5 ~& ]* J& F) k3 w* |" X
#是否啟用$ H3 h) L' P9 m7 X) e
enabled = true
0 `: ?& ?# P/ J" ~7 V- z
#過濾名稱，使用預設的即可) m4 G" ^7 e) p! d7 w
filter = sshd% h2 ~9 N! U s' G/ Q4 Y1 A$ {
#iptables設定: g1 f8 @" `: q" A5 f6 j( q
action = iptables[name=SSH, port=22022, protocol=tcp]
5 F( C8 r( i& ]1 ~
#發生阻擋時的寄信設定0 ^1 x; T* {% |( E2 D7 n
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ s) s0 N6 ^1 W) d
: f8 p1 }3 g" R" n, u
#需要掃描的記錄檔" e! K" K* J! ? p* J/ E) N/ M
logpath = /var/log/secure; q8 d z1 A. ]6 v( L
#最高嘗試錯誤次數
: u" Z: u. C2 i) a+ y, @8 F. y+ F
maxretry = 2* P. L8 y5 ]/ w# Z- a; ?
#阻擋的時間，-1表示永久阻擋
6 N" i5 c8 w& [; u: F
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
6 \ @# ?/ {) a# r$ P
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "0 G2 o- E3 J) u: v5 C
getpid' P0 P% B( {- j# [! J& F* y5 x
if [ -z "$pid" ]; then
3 w1 \4 i6 J+ O! y" C
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
f4 r( N* d( |$ @% C4 O7 O
$FAIL2BAN -x start > /dev/null
3 N& O, \4 c& Q/ R
RETVAL=$?
6 u1 j) _ T- |3 A+ I. y, d* f; m& N
fi
) h* z: m# Z. Z7 g: a
if [ $RETVAL -eq 0 ]; then. v! W2 F0 R# P% G5 N/ U$ I
touch /var/lock/subsys/fail2ban0 e3 m0 w( D/ v$ a( f7 {2 a
echo_success0 {, S ]4 F! n/ H
/sbin/service iptables restart # reloads previously banned ip's
' V6 K3 S& ~: n% h0 X: W
else
3 m, c8 n2 n" T. x, P* Q" r
echo_failure3 H ?. V) V$ v; ^; e" f
fi+ I. U8 [& b* ?; g3 i
4 b. g& a. }9 N* e- T
echo
0 P" a1 |7 K* k
return $RETVAL2 `( y3 t/ S' C2 E1 K
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
9 ]$ o* w- x6 N! p
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
8 D5 I! R6 G" E) ^3 A- @8 k* v/ M
getpid
5 e4 c# k( t) N6 M S
RETVAL=$?& U5 j6 e8 Y' }- s9 v! w% f
if [ -n "$pid" ]; then
% u( N9 v- T( I
/sbin/service iptables save # saves banned ip's
7 {5 B; J1 F: f9 Z3 S. e9 _* H
$FAIL2BAN stop > /dev/null
7 A+ s) T( ^6 i0 t) o
sleep 1
- {5 o9 Y/ Z( |7 Y) B
getpid+ s M9 V9 y I x% _/ F, A2 i& G: `
if [ -z "$pid" ]; then
0 e1 e- K! C3 `6 `" k
rm -f /var/lock/subsys/fail2ban
$ H9 Q+ o) {, t! q* S8 {# L" D8 B
echo_success3 [# }9 l P2 j2 E, p
else
# s: L$ U T9 E$ G
echo_failure
& \) X( h+ u' h& J, H N
fi* H4 ^0 ^' o$ j% U/ t1 d' Z8 Q
else
) z9 { C- Y1 U6 k% Q1 v
echo_failure
# r- Q2 E5 m8 b
fi
, }, a0 u$ W: q0 N
echo
- c" {9 Q5 k! d& I
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊