防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
s; S) E9 t4 {: R7 O' `0 U; ~ s
#logtarget = SYSLOG' w r/ W, y, b4 P
#調整後的參數/ W- r2 |( I; u5 C% P
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數7 S, S1 Z1 u1 L7 w
#backend = auto
F) ]6 v6 x; p1 i' I- Q( }' M
#調整後的參數
* ^) l# Y3 E9 p3 {
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
R1 j5 b' H9 W* U5 z8 x* E* w
#是否啟用3 }) r4 i8 U" y2 {$ l" [
enabled = true
/ T9 `/ F( P" d% J. Z8 q5 G9 w6 D
#過濾名稱，使用預設的即可4 E# M w" K# a& \ c2 k3 m/ o1 k4 ^
filter = sshd
& p/ h+ k- x2 R7 _3 A0 `
#iptables設定
9 Y) C- y `4 {6 x
action = iptables[name=SSH, port=22022, protocol=tcp]/ z1 y# k: y$ I: W8 H/ ~% p
#發生阻擋時的寄信設定
) n. [, r) l7 k5 _5 ~* g; o
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com] ^+ C8 b$ k- t6 L" }* A K; l
! {7 V$ H8 r7 ~/ T& k
#需要掃描的記錄檔
9 S+ I1 L6 _" t, H$ H( B# @8 z& @
logpath = /var/log/secure7 E* w5 v/ N) M' c$ c) t
#最高嘗試錯誤次數8 z; v3 P* Z2 a# P8 g
maxretry = 2" _; I' ^2 b& D2 S: ?, T
#阻擋的時間，-1表示永久阻擋
; O1 }+ F/ C. M+ L8 z+ ?+ b
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
% j( E4 ~% Y5 Y- Q. A9 A! t" ?* ~
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
/ ^( l. Z/ w& b& o0 F8 `4 k
getpid3 Z8 P4 X7 y- G9 V h( j2 r
if [ -z "$pid" ]; then
; @, P: F; V& b7 M0 a& P3 Y0 [
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
6 l. O9 W1 q# w, b, v, I8 A
$FAIL2BAN -x start > /dev/null
$ @1 n/ N( B( A0 Y9 A9 b
RETVAL=$?. I3 B7 Z) `/ T Y+ k$ M
fi/ s- l, \2 S5 G9 X8 a
if [ $RETVAL -eq 0 ]; then( ] M% W8 K/ b6 D6 m
touch /var/lock/subsys/fail2ban7 ]% d) t8 S, R3 U2 _3 a' \
echo_success; K/ O5 z9 H* T' z
/sbin/service iptables restart # reloads previously banned ip's# d: B. ^7 C# B- @
else4 i: Y( `) l& K% P" {" Y: T
echo_failure
: W' d* {; V, R$ G8 K( _
fi7 r! m4 U5 A* f }* e7 v8 [
6 \& B" U9 b9 R0 W- p
echo. O$ o6 r) T* o _
return $RETVAL
: t) U1 A) \. f0 J3 M$ v/ a
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
( {5 E" J' g3 g( a! G8 t& b
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
9 t0 h! s1 Q3 m$ J+ E' l
getpid- `$ K. O. J2 d5 O% X
RETVAL=$?/ z9 d& Y$ [- T3 s* W
if [ -n "$pid" ]; then/ ?2 w+ V8 \8 }+ W5 l/ l; y F
/sbin/service iptables save # saves banned ip's
2 U. q/ d0 b6 ?( F; y! o
$FAIL2BAN stop > /dev/null
* a2 X2 C6 G, l. i1 i
sleep 1
0 L8 C$ s c6 t5 F0 g9 Z/ V9 ]
getpid
( q) v5 ?- s" _6 P7 ]1 W+ g
if [ -z "$pid" ]; then! C& e2 I; C! @5 A ]
rm -f /var/lock/subsys/fail2ban
( s" s* P! B3 m1 O. g$ ]. R* Q
echo_success" a: k/ A5 w" N7 c' |" @
else2 ?0 B% y$ P& s2 r! F( X
echo_failure
% p( U" M# j5 N
fi
: y7 @ C u/ i6 r
else9 n( }) }! c$ O+ Z1 J' @& n1 d( a
echo_failure3 i; ~ S6 O/ G% y0 c+ g
fi# Y% D3 _3 L" @+ c( F
echo0 S; K- {* G3 J
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊