防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
# h8 ^* T+ R* m- o
#logtarget = SYSLOG
8 [# e# d( ^; W) m+ j; \6 h
#調整後的參數
' ^4 R- E& v9 T
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數8 ]$ q7 B# k3 K2 ~4 k
#backend = auto
' N: M$ j6 F+ J
#調整後的參數
& M1 ]& [. n) w9 a
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
% v. u& Q/ }+ ~. U5 j
#是否啟用4 v# C" L5 K" X3 x1 Z% d
enabled = true
# E+ |' n( d+ ]8 @/ v1 c# D
#過濾名稱，使用預設的即可% E# Q9 F+ J+ I. [8 F) a
filter = sshd
* T8 I& Z/ b! d
#iptables設定# f# @, d, g# D/ x/ ^) I% c- [
action = iptables[name=SSH, port=22022, protocol=tcp]4 w" o" U, s! J
#發生阻擋時的寄信設定
4 F; b9 k2 x# R( O, `4 i: P, F5 g
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
) D2 F2 g" V) L( x: y+ T" {1 _
) ^1 B! w! O( K5 x! @+ F% a( ^
#需要掃描的記錄檔
1 R& m9 F9 \! G- B4 y) H5 C: s# N
logpath = /var/log/secure
$ ?* `) O3 M6 T" E
#最高嘗試錯誤次數
& W0 ~8 b# m: @0 t% k
maxretry = 25 J" H/ t0 h2 ?! y) m' K* z9 S
#阻擋的時間，-1表示永久阻擋
) m4 o* r# x* `: q
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
* Z+ V8 v: |& D. g# T
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
" N7 L& G3 s/ y3 d1 ~( _
getpid
$ r0 e; J7 ]0 ?) N0 q8 |
if [ -z "$pid" ]; then
: x& `0 H# V, O2 Z
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban$ \* }4 _3 r5 L. c. u8 o' Y
$FAIL2BAN -x start > /dev/null+ d, a4 Z5 y" P. q# _' ^. D
RETVAL=$?
2 ]5 V3 i4 q# y& @2 J' _8 A! _
fi
. F& ]; p# E' H
if [ $RETVAL -eq 0 ]; then' p Z+ K8 W: u' I& `" C7 C
touch /var/lock/subsys/fail2ban
- t! X& w* Q5 w$ S3 k; ^
echo_success+ w) I$ t7 P% O) k. R8 A
/sbin/service iptables restart # reloads previously banned ip's
6 z& x5 D/ m9 Q4 }7 m) @
else! Z+ R: T, q4 a0 N
echo_failure
/ G+ i! g& h6 [6 y/ ~$ W( U
fi/ t9 n+ A D$ J3 j
4 ]. u. j g, i, }8 D5 x
echo4 r% @" e. f+ k% C7 E! }
return $RETVAL
) J5 J+ O6 S. y7 v, i6 u. Q# ]. p
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {- n$ e& t; R; w2 B* V6 t
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
2 C$ Z+ T0 Z" i! M5 _4 v6 H
getpid0 x* T6 r1 d- B" g$ ]6 H
RETVAL=$?6 b* M2 P+ K/ X9 A& M7 J3 W
if [ -n "$pid" ]; then
5 S; I2 Y# c3 G/ s- O" u& i
/sbin/service iptables save # saves banned ip's* Z! C% @7 ~0 V2 z/ ?8 I3 W$ ^* L! |
$FAIL2BAN stop > /dev/null$ M3 k" h8 v% Y& n" a" V1 W) L
sleep 1$ d$ `, v L7 ~% ^1 B& q
getpid- C3 G" u4 W0 i2 O( w2 s
if [ -z "$pid" ]; then9 W: T) D4 B: k' I/ |
rm -f /var/lock/subsys/fail2ban
: E% b2 i% U& B" H. p7 a
echo_success, D0 A: v' L7 L: C @2 I% K" M5 Y
else1 b! a# z2 n j0 c& |
echo_failure
1 G) Z9 H4 T1 l) l3 e% k
fi+ U- x3 [( z+ D' x, X5 G$ U
else- m0 b9 j6 N, _8 s) K
echo_failure
+ Y) f a1 B6 L# J' ~/ J
fi
5 i$ ~ q+ X% O, Z& S6 o1 x
echo0 ?% F) ?2 \+ D( Z
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊