防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
9 w2 |3 f; r) A( S+ ]4 f9 c
#logtarget = SYSLOG
4 }: m. j: P" ^' J6 v9 ~; t4 f* e5 Q
#調整後的參數
# ?' b9 J9 z9 w, S
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
- A4 y: W ]2 Y* d. }
#backend = auto ( m- ^ w4 L- n/ `: p. Q- m: H3 F% M
#調整後的參數7 ^7 \9 @6 [ ~( h( ~% ]# w$ l
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]9 Z4 O l* R' E. e
#是否啟用
, U" V0 [9 v+ H) t3 o \- Q* ?8 P
enabled = true
* y! O% R+ Z6 s+ _
#過濾名稱，使用預設的即可
d- i i! D" k9 p7 C! L" r
filter = sshd
2 U$ G/ P" |8 n* ~
#iptables設定+ H. a5 n0 N: o% X0 I n2 d
action = iptables[name=SSH, port=22022, protocol=tcp]
. |+ R" u- w1 P; W9 G; O( ~
#發生阻擋時的寄信設定
2 N2 e+ o2 B @
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]" u0 Z# H8 H9 i( U, ~- P- k
3 `/ {: y8 T* p1 q; b$ V
#需要掃描的記錄檔: N6 [. G: C- @$ q z) R
logpath = /var/log/secure
& U3 k4 Y) z5 O) E! }
#最高嘗試錯誤次數
7 m/ p: h) D- X% |, F6 T9 s3 G% b
maxretry = 2. C3 d. R+ X' T8 h% F! O) I3 d
#阻擋的時間，-1表示永久阻擋* [' N R E1 M, C6 S& K
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {* Q9 ~2 h0 R. R3 u! A1 F/ p
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "- I- J9 e6 {, W1 r; }
getpid
, l1 @; g) w# i9 M5 ^$ Y, J
if [ -z "$pid" ]; then
1 A6 P1 q, _; Q* A( m" {. }! z
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
. n8 @; j: S9 l
$FAIL2BAN -x start > /dev/null7 ^5 J. W `0 g7 c3 K9 f
RETVAL=$?2 L0 m$ g! ]) [
fi' V* b1 Z2 d5 n1 z i: z3 Y2 q
if [ $RETVAL -eq 0 ]; then
) ?# k9 b% }) I7 x% d6 _ u
touch /var/lock/subsys/fail2ban8 I" K3 }8 W+ _' @ v
echo_success
% v6 V0 S7 R& w7 b O
/sbin/service iptables restart # reloads previously banned ip's# {5 I. d* \! J! M, N g- R
else
2 O. y5 k ^& Q; G& h
echo_failure/ c8 |2 _7 E% }- N! }
fi
. R! H. ^( j8 Q
7 S P) Z g. ] ~2 d2 \
echo
0 Y. H: l& x. v; E9 \3 A2 Q& b$ O
return $RETVAL7 T5 m. w6 m! g% E) p7 o! O( a
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {7 x% @2 T S* M' S
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "" R# T8 a+ ~6 B r1 m
getpid! U0 n- e5 Q/ C% E" f" H; i+ S* \
RETVAL=$?- |; O( c) p5 |& j4 K4 j2 m; ]
if [ -n "$pid" ]; then2 m* U$ b7 k# n8 z$ a# ]
/sbin/service iptables save # saves banned ip's' ? t8 D7 r/ O; W) a3 N9 [9 ]) z
$FAIL2BAN stop > /dev/null6 y+ q9 ?# U. p/ I, ~9 Z
sleep 1
* m, y' ]6 e) v
getpid
4 m# d0 B6 W Z' G+ U) v7 Z
if [ -z "$pid" ]; then- b: C; v" Q0 x2 j
rm -f /var/lock/subsys/fail2ban0 K' ~8 |7 q3 b L3 c# u4 ~
echo_success
! W4 p( F$ v& {0 ~
else9 o& K+ R" s2 T
echo_failure
8 _$ @, e( y# i. C
fi. @2 G) \$ c3 ^: t( Z& V
else
5 B: u; c" K2 B% M8 ^
echo_failure
- K4 o" |3 P0 ], Y, D# g3 q& v
fi5 Z! ^% }. U# ~* `, {' f
echo& E R) n8 I' C* ]6 J, i$ @+ c
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊