防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
#logtarget = SYSLOG
, M3 a" }# Y7 P& k( Y; { ?# j% F
#調整後的參數
* y0 |) H1 G2 W& P( v% r- ~: ^- U; a
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數2 m2 o8 Z- G2 B; G2 b7 E
#backend = auto
4 f5 g! M' ~1 n+ O$ M# J
#調整後的參數
2 \6 z3 ?& L/ R: \) Z$ C* U% y
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]3 v! [ Z! g/ M# \7 [" S
#是否啟用
) V P6 K+ e" U" K; [: G$ o6 x
enabled = true E& J; z( D, Y2 }8 A/ T' i* W4 V, B
#過濾名稱，使用預設的即可" M% ~: a- K, r" u5 M* {
filter = sshd( A$ [/ \' A! X. b! h
#iptables設定4 o. d M+ F& J. u1 M
action = iptables[name=SSH, port=22022, protocol=tcp]- r2 J' F: i. Q7 t7 {3 @0 z
#發生阻擋時的寄信設定& ^! n4 p" \9 G+ `* O
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ T- m+ z' d: B) q( G: ]" t9 z
& `. V( R% C2 A1 q9 T$ M$ q5 s' I2 ?
#需要掃描的記錄檔
/ M9 n8 X2 D H7 T- j% R! B/ Y3 ]
logpath = /var/log/secure
6 ]4 t! Y% C Y' }! ~% U- r
#最高嘗試錯誤次數( g8 u9 c& L: Y& W9 w; {* Q& ~
maxretry = 2, G3 G7 |! t' U4 [! X8 b
#阻擋的時間，-1表示永久阻擋$ ^, r8 F5 F. _, t: y5 I2 Y2 A0 x" k) m
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {9 m! \, y; r$ K, v' n2 T0 s
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "& v4 q1 o) i9 D
getpid/ L; r( H, }% Z1 [6 K: O4 k# F
if [ -z "$pid" ]; then* |4 A3 U5 Y2 D
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban6 p \: N2 {3 m6 y/ Q, ^) j; a
$FAIL2BAN -x start > /dev/null* k5 d/ k9 O6 O2 @
RETVAL=$?8 }2 E7 {3 _8 D E: r, g$ y
fi
( C! d; o1 E4 w" V
if [ $RETVAL -eq 0 ]; then
1 p) f% j* j! B |" B) F4 l. O# ~6 s
touch /var/lock/subsys/fail2ban; Z' t' F3 X9 C8 e
echo_success' Y& O7 `$ b: }
/sbin/service iptables restart # reloads previously banned ip's
& V1 a/ i1 ^. h' H- K% \( o
else; j/ }( I" b; T3 y9 @
echo_failure
) Q4 z; K: H7 j$ ?
fi3 Q6 p e3 X) V6 J
8 E( b6 a- {; |8 v. \. G, T) P
echo! i, v, N0 x" V
return $RETVAL* O! a; E# a0 K4 m
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {2 f$ s+ Y& m: z. I; g+ a* B. l
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
5 V% g+ w4 N. @* ^& Q: c; e, l
getpid% | ]- h' P7 r$ {: z" E2 ?2 y9 T
RETVAL=$?
9 N( {8 N1 M6 L, S+ T
if [ -n "$pid" ]; then" o4 [" }5 _/ N. C" A
/sbin/service iptables save # saves banned ip's- S7 K, g& h3 L
$FAIL2BAN stop > /dev/null
( B# ]" e2 ^$ b
sleep 1/ U& @+ r4 _* y+ _
getpid5 H" a9 u7 @. N; K k
if [ -z "$pid" ]; then) e& J9 T1 z3 b- o9 p* |5 p
rm -f /var/lock/subsys/fail2ban! g2 k4 C& H3 A3 [0 X# S4 [+ y
echo_success; G0 d, I* A: [0 L/ s- a! b
else
! | o3 I/ Z8 ~& G! O
echo_failure
, G% c" r* D* d7 n7 J3 F" y7 q0 {' X
fi2 }5 ?, K3 W; g
else
r1 Y- Y( j+ P
echo_failure% I; I; E6 X( U! Z' w$ j4 a# L, i6 t
fi
/ m9 t' d) |8 k* |$ V- z0 B: {! n
echo
" w. y5 H- N) ~( l. p
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊