防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
" i* |3 `4 r8 |& V( l6 E7 h- G4 I1 T
#logtarget = SYSLOG, I* c4 {8 P! {- B" @2 l: X% k
#調整後的參數
& j" _+ b) h9 A/ g0 X
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
2 l& n3 l" D K( ^. u
#backend = auto & O) U. Z) I% Z3 x
#調整後的參數
~$ H* y* C* f% N' i: B2 ]' X
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
n. [% \; Q% q% P U+ z3 k
#是否啟用
1 r$ M# m$ X7 t1 H, v5 O) P
enabled = true
* g9 O) F4 g' B
#過濾名稱，使用預設的即可5 N0 D. h6 ^0 v- D
filter = sshd9 \3 e) { R5 C) W( ?% E- I5 p0 y
#iptables設定
! W6 L/ q0 c; P) x7 p
action = iptables[name=SSH, port=22022, protocol=tcp]; E, ~ s( l$ \2 u- ?# u# j
#發生阻擋時的寄信設定
6 v5 l& R6 F0 p f0 \" u' q
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ W+ V' y5 a( \1 b# `
7 t* F, x1 P) S! }
#需要掃描的記錄檔
( V \) j9 _* A. H/ f
logpath = /var/log/secure) c9 j$ u6 g3 v' a" K/ R
#最高嘗試錯誤次數
9 @* T0 F1 _9 x5 g
maxretry = 28 z2 M. g4 r' e
#阻擋的時間，-1表示永久阻擋
8 ~& R+ Y9 z/ g. e: O( D, c
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {0 `! W2 R( j8 H: x
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
: O9 U% `6 R2 R1 r7 ]
getpid T0 G o6 L5 p, [6 r* c
if [ -z "$pid" ]; then
& E# [6 j) G: W* j
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
. u2 G" ]. S7 A! X8 e. O
$FAIL2BAN -x start > /dev/null
" H! P4 O4 e0 {, Z& n8 L+ h
RETVAL=$?* S% Z: [) N! n& [
fi5 Q, g7 d9 A( T# Z5 Z" k o/ y
if [ $RETVAL -eq 0 ]; then
* o) L, l; ]3 G* {# N: n
touch /var/lock/subsys/fail2ban
" K& n/ U3 J# e U; }- ^/ |0 C
echo_success- U* B5 B5 c4 p- L/ g. ~ r6 O
/sbin/service iptables restart # reloads previously banned ip's$ S9 F/ n5 w8 n# K9 y% X
else) ~$ Y9 P! f8 H1 K
echo_failure+ a2 {5 H% ], o, m6 z
fi
3 N% b+ ]* e5 ^: F1 Z' z* K
* `. `( R+ F; w# I. K: N
echo0 q/ e1 k0 |6 D* T- \
return $RETVAL/ q" a/ }. V/ E% V( W3 E
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
) j, H# T7 v! d% X' v: P
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: ", f) k( e5 h* u2 Q* l& V0 g
getpid
* T/ Z: X9 p( R* b+ u
RETVAL=$?8 @8 B" G/ w9 l( D9 W
if [ -n "$pid" ]; then
6 i) R- e( r% x) @) B! e: M
/sbin/service iptables save # saves banned ip's
( O2 ^0 P. m$ S
$FAIL2BAN stop > /dev/null; k) w, }. F+ s8 D7 J
sleep 1
. ^4 _) p: ^' U, t( \0 A b
getpid
7 B5 `' ^8 D! [, G' C* }
if [ -z "$pid" ]; then
4 {' ~: S, `9 f# h. u
rm -f /var/lock/subsys/fail2ban
2 a! }/ |- ^% |* R
echo_success% v3 T' o7 B0 y0 E- \* ^4 Y
else' A+ E0 t( p7 I' A; J3 P8 p
echo_failure) a5 o# {+ B6 |/ e
fi( l$ M: @8 g; D- u( z* i; [! e* Q
else
# I l. X1 d- W# S& P
echo_failure6 ?: }+ ?: P. ?3 W& k0 Z$ u
fi
. G! k; l! @0 s4 [ C
echo7 k3 |5 G o8 y0 C
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊