防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數* b; h/ r! @2 N2 O1 N
#logtarget = SYSLOG
. E3 Z% E0 v n( ?
#調整後的參數2 d) z% S8 \, s; [9 b) \
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數, i% t; \: C% g% h S/ `% I# |8 X
#backend = auto 4 B3 y8 I& N% K: _/ ]
#調整後的參數" q# b; n) G; q* X; H1 K. R9 b
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]# T. E8 ~) J- @* `
#是否啟用: b8 N6 S% Q2 P) Z z
enabled = true; k0 P( C3 ~# U/ M
#過濾名稱，使用預設的即可
- w9 n% R% }" t5 Q! C
filter = sshd
% _) ^% ^ k. I% U0 ?& Y0 u! K
#iptables設定
8 A- I. y ^- E: y A6 B; {& K
action = iptables[name=SSH, port=22022, protocol=tcp]
# }( K1 H* o, D0 m
#發生阻擋時的寄信設定% Q+ e; B( C3 W: Y. h+ Z( L+ R
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]2 W0 ]8 T8 o" S8 D4 u' P/ ~) y
3 W( d8 ]' l+ f- l+ p( u; D
#需要掃描的記錄檔$ o( ?. t6 J) W% J% x
logpath = /var/log/secure& A6 r3 k$ X, Z
#最高嘗試錯誤次數
- a3 k9 {6 B" t4 x: F
maxretry = 2
+ Y9 |9 F9 g }
#阻擋的時間，-1表示永久阻擋
2 s6 j* N1 J' E) I& I
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {: b# J: J% f2 ~# i# A# l
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "( {4 w* l: N! `1 @: H2 b
getpid
( W5 Y/ U- [0 K2 ^) o
if [ -z "$pid" ]; then V7 F. A/ w; F# u- v
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
x/ L1 V8 I9 t- k' l$ f2 R
$FAIL2BAN -x start > /dev/null8 a7 T3 L3 ^6 _( X6 F1 c Y2 s
RETVAL=$?
0 e7 X% ?$ P0 y( [# Q0 k9 g
fi
2 U" w7 r: b% x% i+ q
if [ $RETVAL -eq 0 ]; then" U# @- |+ |9 S3 d' r
touch /var/lock/subsys/fail2ban
, H9 | i: w, I5 K) |( I
echo_success. |. X7 G: R& D9 `8 |* I \2 b
/sbin/service iptables restart # reloads previously banned ip's
- U9 _8 p m1 V. q$ U3 r& S/ c8 ]
else
+ B/ o( w' n& w" v6 B! v
echo_failure
4 G" J- x0 h& z
fi
1 G3 G ^$ C; R6 ^
# R& l/ y; x1 i
echo
- T- b$ a4 J! S9 v1 b
return $RETVAL* h, G) U7 M$ s7 P
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
, H% E* Y% d! v1 t
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "3 s& M7 E" c, ~3 m& g
getpid
8 k4 B0 P& `( T7 n1 u
RETVAL=$?
+ a; _: j: m8 O: s/ a
if [ -n "$pid" ]; then
% X; h1 w( B$ ]% n7 v% G1 G6 r
/sbin/service iptables save # saves banned ip's q- A: X- S- r! T" {8 y9 H! j
$FAIL2BAN stop > /dev/null# Q: W5 X+ O: h8 ?
sleep 1
' W% d* W" }- b' S" G7 A) k D$ x
getpid( t& j& D0 P! u( z9 M' h9 X
if [ -z "$pid" ]; then
! z5 g2 n0 ~; X, [. W) G; n
rm -f /var/lock/subsys/fail2ban
$ Y' ~6 b' C% G6 {5 }6 I
echo_success* r, u. d- ?0 b8 Z5 F0 f
else
4 W8 {/ M. g3 R! ?
echo_failure
% h4 n# a0 I* U' R( M: X1 ?
fi; K3 B. U2 I: E1 A' z
else' e( N+ w; u M6 G; Q j
echo_failure" x, G3 I J( G3 p9 u4 g
fi$ y2 P# f- o( j7 d! ~$ y
echo$ G( m, |' Z8 X* z; ~- K
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊