防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數' N& ~1 d$ m! u3 R+ K4 {/ F1 R
#logtarget = SYSLOG
B( y+ N$ \0 r; [( a0 G
#調整後的參數, L+ ~& i) Y+ h1 `: \9 Y
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數5 q7 h1 X x M( B2 W" a
#backend = auto : q- J7 h& T* g# j; }0 ?
#調整後的參數
, O) j3 g* I' y+ c8 x" b7 K2 s' q. o% }
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]) l; P( r; v4 r; F6 a3 [1 z$ M
#是否啟用
5 l8 g- R. n4 a; @' B* I3 t1 O- d
enabled = true; E9 Z# B6 _9 ?) l6 w& W
#過濾名稱，使用預設的即可) X# `5 Y/ N3 _5 I: J- A
filter = sshd* {5 w# D6 @/ B+ R0 } ~* s# K
#iptables設定
- x9 [. }8 m9 s+ z9 P0 G* \, t& m4 z% d
action = iptables[name=SSH, port=22022, protocol=tcp]- ?3 T6 K' e+ O$ ~ |
#發生阻擋時的寄信設定
! { a. \ y. E( Z* \. W4 C
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
2 P5 l8 f" T8 D# R' q0 A
' G5 i# l: j+ ^8 ^3 E
#需要掃描的記錄檔 [$ D+ W+ U# Z+ w$ ~. k4 r
logpath = /var/log/secure+ j+ X/ {8 l9 d \0 _$ S
#最高嘗試錯誤次數/ L' y% B7 y" \- E
maxretry = 29 G( c+ n, t- c) {7 g
#阻擋的時間，-1表示永久阻擋' C4 I$ x* s/ }* X/ H) s
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
& L* S5 k8 u# u0 A/ T2 @# l
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "% R6 g9 \: S' s2 Q( T8 ?5 E1 p
getpid
0 S$ [& g& ?7 ~. b
if [ -z "$pid" ]; then
" `; W4 U: w" |- R! ]( k' I1 k
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
7 r& [. R+ c x3 O! E: n
$FAIL2BAN -x start > /dev/null
: r& H9 t7 U+ G$ r
RETVAL=$?1 q; A& m$ P y4 D4 D# Y+ c
fi
9 D8 i6 d+ @- h
if [ $RETVAL -eq 0 ]; then
% E- ~1 b4 |; t1 C' ]0 n
touch /var/lock/subsys/fail2ban
( r; l& @( o; N& X* L
echo_success
' M6 e; `1 w) ~* P9 S0 s5 D
/sbin/service iptables restart # reloads previously banned ip's6 n$ Z! }, R, x
else$ _& g5 m( S& i9 @( p, p0 T& P# X- |
echo_failure
/ O n: H' B% z' d
fi3 \" |3 U8 m) D, T; I+ H
1 a& i: k1 Y' G/ C( @# {/ r8 U, o
echo
7 _, ?* M9 u y# R, B1 w
return $RETVAL
$ ^3 A8 z8 C" t8 o+ {
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {" v0 H* | _* j3 ~+ P9 _* r
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "/ f- r$ W% z' f8 _6 _/ d& ]5 \
getpid( \" c, H( j+ y* I6 s7 _) {& l
RETVAL=$?
+ S- v) d) X0 ~5 j, n2 f. p
if [ -n "$pid" ]; then
% i; H9 Z$ N3 `0 i; o
/sbin/service iptables save # saves banned ip's
4 i, @# {4 G3 S+ J/ G9 a
$FAIL2BAN stop > /dev/null
# p& Y8 Y4 p- `% n" y" k( I8 o8 g
sleep 1& r6 T; R3 j9 k5 {5 [- k1 a
getpid) W9 G* [- S& X/ {( N% n- f" }0 A
if [ -z "$pid" ]; then
; S! }/ k8 W' x O7 P
rm -f /var/lock/subsys/fail2ban
' T7 L3 m# J: B# r5 {
echo_success
; g( _5 h# r, Q0 ~: J& f2 [: z# v+ T
else% Y" c: a4 D) m- z7 d+ E
echo_failure, \1 B. P, f$ D; n% B
fi% O q( F/ I8 m6 I! U( l! }
else
( ]; J! Q$ x! h+ c6 y: h
echo_failure, Z$ Z. s& S) G7 _/ b, d
fi
, `% j8 F8 n& p2 \7 q
echo6 ?8 \* y* e& X3 L$ I6 L
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊