防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
& l1 x/ z* m2 x1 h
#logtarget = SYSLOG
7 R% d0 Z; j/ J: } w0 s, \6 l
#調整後的參數
1 t" B0 L D% J2 H) W! {5 E* W
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數4 s. X7 b. [1 t9 j* ^4 O
#backend = auto
3 _' q1 G5 B" \/ N5 k
#調整後的參數2 o6 H0 f7 X: a/ ?
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
0 s5 i- \+ s: f3 i" M) c, v( d# V1 }
#是否啟用
0 K2 \$ J" L( y
enabled = true4 u, o' r! y) A! ~! w6 w# I& D7 R
#過濾名稱，使用預設的即可5 }9 b' `- b* W0 ?% j
filter = sshd r7 l" i. C H2 Q/ H( s2 h4 q
#iptables設定
( K1 ]/ H1 K2 W7 F" H
action = iptables[name=SSH, port=22022, protocol=tcp]. D t" |' w8 u& I3 t- t
#發生阻擋時的寄信設定
5 [' w. @( a* t4 `3 C5 d6 ?* I U5 {
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]1 b9 K5 ?( M, |4 s& ~! J4 e( g
- A1 r* q7 C# T: I
#需要掃描的記錄檔3 V" z1 L$ W! t" w" A
logpath = /var/log/secure. z0 v) I# T. g! ?: B1 o
#最高嘗試錯誤次數) g* c+ Z5 a2 m D
maxretry = 2
& n5 L8 t( |. a( S/ A( n! |
#阻擋的時間，-1表示永久阻擋! p: q. c: d, H/ ]" s7 O
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {4 F+ r/ r2 F* J( w P
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "& q! ? F* `- E5 `& B
getpid- W) H- E3 m3 m) O& |% L4 ]3 ]
if [ -z "$pid" ]; then, n) \ L* D" H; F0 f
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
- a6 D6 ^8 H5 }3 ?* K
$FAIL2BAN -x start > /dev/null/ a5 y' F+ u: X& C- R: H' b' E% T
RETVAL=$?
- [6 z9 U* V8 d# I, u! q
fi$ [1 l8 x2 J2 n- @
if [ $RETVAL -eq 0 ]; then, G( D/ _3 L6 N {
touch /var/lock/subsys/fail2ban
# f) \* M+ D, r8 s! h
echo_success/ Y1 Y9 z# C7 X7 G9 C% O z" n
/sbin/service iptables restart # reloads previously banned ip's( |* ?3 M0 ]/ @
else$ R- R/ x$ A9 c1 N; [- c+ H" S {
echo_failure( s4 f! x" s, Y
fi
, ~$ }$ n- n& R$ H0 n# a/ I1 }
/ Q/ R# k4 D( P
echo) B% Y) c8 v. u) N
return $RETVAL
2 ^/ Q* n% v8 a B. n8 R
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {! f- N0 R* n J0 o3 i" |0 M
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
. Q; W% B. U0 \3 i8 t! Y. ~
getpid
$ f5 p7 Q% E3 j7 J
RETVAL=$?
7 [/ u, E8 v. h8 R% u {$ y
if [ -n "$pid" ]; then# h9 P3 v2 P& i9 d+ b( \' O0 Y
/sbin/service iptables save # saves banned ip's
& q3 _% q" n0 s# j9 C, e, u1 ?
$FAIL2BAN stop > /dev/null
1 f3 L# M4 S* V# |: V
sleep 1; k0 c6 \; j' J, f0 F
getpid
9 W- r" V) T) g4 n, u' }& u
if [ -z "$pid" ]; then/ y" O+ k8 r, b; u
rm -f /var/lock/subsys/fail2ban- e* o% A$ x* }3 b) v
echo_success
' z1 E4 j+ m+ e& k z' _$ }
else
4 i3 P% J0 y, Q4 r4 b
echo_failure }. ?( N) q5 s
fi
8 A4 d# M4 l/ r, _' d* ~
else& c' P/ _+ f! a% E4 b# F2 ~0 r0 [
echo_failure
$ j: r; N0 H5 W% {9 I7 ?
fi
7 T( l( ?! e5 v8 _4 q: S4 |
echo& C% f. @ k3 M6 {4 z
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定