防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
4 v$ E& `+ v4 O
#logtarget = SYSLOG
8 |9 ^& y8 |. Y- j
#調整後的參數2 i' x" _9 U, _5 S5 U) E# |% m
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數( ~. \, V1 @. D
#backend = auto
6 W m* Z4 f* j/ W$ i. s% z' Q% W
#調整後的參數
0 ?. s% a! J3 I: i, o/ f0 d
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
; `/ A0 f# D' y5 O5 B
#是否啟用
* s& g1 E" O- }! ]2 b
enabled = true5 b' Z- Z- Q$ _1 n3 r m: h
#過濾名稱，使用預設的即可
; _9 n& [! e- S! b
filter = sshd- x% `8 s3 W9 v9 F1 K' K! w
#iptables設定7 i+ A D; k/ n; F- s6 A2 B$ r
action = iptables[name=SSH, port=22022, protocol=tcp]# i! e3 t# C4 r+ n- A
#發生阻擋時的寄信設定9 s# k4 H/ |0 N4 q: i- t+ @0 U
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]: K* [: j( U* p
$ x) I- p" w$ c# c+ y% f: U
#需要掃描的記錄檔) T' u9 U5 r0 U& X% p+ N
logpath = /var/log/secure- J' a+ k% f! P% q, H5 S* F! R; N
#最高嘗試錯誤次數
7 y/ N6 B, x3 K1 z' }* [; E
maxretry = 2
4 n# ?3 D* W3 |
#阻擋的時間，-1表示永久阻擋1 }! e" q; z. n E& ~- O
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {+ [) M6 X+ I2 X w
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
5 i' V( }; A* k9 r) e
getpid
. j5 W. A c, b! ]; A9 [' {
if [ -z "$pid" ]; then
& @" F3 N. e. N; ~3 v' h
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
# A* b" l3 E% g. ^7 a
$FAIL2BAN -x start > /dev/null3 t+ }5 V/ Y( D4 K* S% k' j; f
RETVAL=$?% |- ^, `9 s0 o- g9 ^! n
fi2 `3 y6 D Z& f; a) S q
if [ $RETVAL -eq 0 ]; then
1 N+ Z4 w7 f0 t' m. _
touch /var/lock/subsys/fail2ban
( D# G$ S' T+ H1 U
echo_success! m" V6 u. w, o: v* t' U
/sbin/service iptables restart # reloads previously banned ip's. h2 l/ H" R; G- K8 B
else" e; a1 u) t$ f! s Z/ b
echo_failure; r, ~3 z! ]7 A$ V
fi/ w6 d2 o# V4 I2 e
, Z# V% u# a8 p% U" b0 \
echo8 d& S8 l0 E8 k% W/ w
return $RETVAL
2 t5 i2 I' r' F4 P! e/ \2 X( y6 ^
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
+ y |% L8 ] \( |, M; u0 ]
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
# \% m; e: _0 }' k8 u( E
getpid
1 B- j& S# w+ o. A; L9 s. k
RETVAL=$?) L% S$ z! h: z4 s T+ [
if [ -n "$pid" ]; then2 b1 h/ }: c$ `2 O0 V( }7 f2 l
/sbin/service iptables save # saves banned ip's- l* D. M* S4 ]( z) o* E
$FAIL2BAN stop > /dev/null
7 v" y2 i3 {* r. i5 f
sleep 15 y$ H* m& C& L1 s3 T
getpid
# N. [4 a5 |1 }+ E
if [ -z "$pid" ]; then/ c9 W/ y8 ^) {5 k! _
rm -f /var/lock/subsys/fail2ban8 l8 ^! C4 } Z/ V2 K
echo_success: t' m* ]; M% p! Z
else& ^1 ^6 W1 s- H. Z8 r0 E6 z; l8 d/ e
echo_failure3 {+ Y* A% ]6 Z3 k B
fi; }; t# Y" \/ V" l- E9 f( `1 X
else$ N/ J) d Z( B: x% n% D
echo_failure
. w! t1 f# Z0 W' z6 U
fi# ~9 o( ?: s3 @! ~8 ? p
echo" w' e) g4 v3 [4 w
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定