防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數. I1 X7 o$ `3 j k
#logtarget = SYSLOG
# r# I$ g# o! L) Y5 [8 b. B
#調整後的參數
& D5 `8 e% O: T7 J
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數. P! C% i7 W+ J( b7 L* _- X
#backend = auto
. q3 N# T0 z3 Z' M1 o7 n7 h4 w4 \
#調整後的參數
+ X" ?- f4 c! E
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
# F$ @; e! r7 [( w% V* k7 W
#是否啟用
5 k7 \4 w6 W, f
enabled = true
( Q {1 S) n7 [/ w
#過濾名稱，使用預設的即可+ F1 o5 s8 ]/ p; \* R
filter = sshd/ y) [% u' `2 u1 E1 r. l9 i
#iptables設定
4 ^8 Q% F" S2 o1 M
action = iptables[name=SSH, port=22022, protocol=tcp]# y# m7 k2 b6 Z. S ~) H: M
#發生阻擋時的寄信設定; P$ s8 v3 T- t8 L: m# b
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
: P5 t: a) v, ^7 T7 Z" }( e6 j
2 X. ]$ }2 L3 O5 C( M7 ~4 P
#需要掃描的記錄檔
4 x8 ?# c3 K; x0 v$ Q
logpath = /var/log/secure
% y* G0 W+ J2 R8 }. p: k
#最高嘗試錯誤次數
8 Y$ D* |0 q6 ^$ E5 t( v5 A
maxretry = 2) y& ] Q. w4 i$ |' ?4 r" F! S
#阻擋的時間，-1表示永久阻擋, n/ o) z8 [' n" a6 i5 ]- | n3 g
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
. w' S7 B( E6 I" L6 K: g6 N' y9 R
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
" p8 B# I) }+ L" A2 `! v
getpid, Z# n. L7 z. {9 b6 c( N
if [ -z "$pid" ]; then0 k$ ^' u0 P. c7 `2 n" Z* U
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
O6 K# P& H* B2 E. D d/ t
$FAIL2BAN -x start > /dev/null$ {5 ]$ {7 D8 s8 L$ b
RETVAL=$?& ~ y6 w4 N7 ^
fi
5 X+ Y! ^* T2 V( n- G" a; Q
if [ $RETVAL -eq 0 ]; then- A) }" D' H) Q* `7 \
touch /var/lock/subsys/fail2ban g$ }, Y; F6 Y) x3 Q
echo_success! Q8 E# A2 C1 h: y g' j
/sbin/service iptables restart # reloads previously banned ip's/ G) N7 t' O% A1 l0 i* n- l
else. O5 X$ Q/ t |; _: r! X4 s$ v
echo_failure* M% [" x1 K/ h" t( p4 H* u7 X5 B
fi
& C3 c8 [6 A' H. Y8 F
0 z j3 Y0 A4 d9 C1 \6 w
echo
/ y) Y! k C7 v% p+ a
return $RETVAL
& K, P% m) Q3 B4 B2 D
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
/ l0 y2 c! o6 Z/ a8 I9 d& u+ Z
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
' s, ], ]6 j6 x, W5 F, @
getpid5 ~/ @9 [1 F1 Y0 k# c* F
RETVAL=$?- p6 {' r! J2 \2 ]6 M; ]" |: u9 m+ e
if [ -n "$pid" ]; then8 _2 X! ]! N* q
/sbin/service iptables save # saves banned ip's0 C `& |6 L; b3 s& \& y0 F/ S
$FAIL2BAN stop > /dev/null
$ O- e: b. T9 N/ T) i/ u! o
sleep 1
( r: ?* K8 `5 H3 ~( j& }
getpid
- }! j2 `& D2 I6 b0 \# L* |
if [ -z "$pid" ]; then+ e. D6 D& `: ]( S8 `# G
rm -f /var/lock/subsys/fail2ban8 z) F2 c7 ^) e/ p" I9 T4 J
echo_success5 Q" Y8 j, h/ a/ @
else
# q' y4 O5 a3 z5 I1 r! K
echo_failure3 ^; ^& L- F) Z6 N
fi
6 p" p0 d- ]$ f5 g4 k
else
3 M% I2 o2 k2 j
echo_failure
; ^/ W1 r3 B% |) G" X9 ?- y) B0 M- T1 B
fi
( }3 B2 f% ^) X" n
echo
1 M! l1 b1 h. z, }
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊