防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數' u+ U1 j. ^( i
#logtarget = SYSLOG' D7 h1 ~6 a) p/ y. u
#調整後的參數
4 ]. B6 d; P9 w2 F
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
5 ]; Z: C+ W' l; u) Q
#backend = auto
+ D7 ^* L2 F4 K" \6 g v$ i
#調整後的參數
/ |% [4 R. S6 O# O. q
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
& n# Q: s$ h6 n) y
#是否啟用
2 H0 _: S) [9 ^) ?4 i6 T% E. q# ~
enabled = true2 I5 O) w+ Z8 p4 b# _
#過濾名稱，使用預設的即可) y" g% s6 c7 k4 J
filter = sshd
7 N3 v' T1 U6 w) F3 g3 q
#iptables設定4 i8 P1 @; j; Q! L N
action = iptables[name=SSH, port=22022, protocol=tcp]
* D) T3 q' U7 e4 Q
#發生阻擋時的寄信設定
, l& H% F1 u! ^0 n- Y# l ^
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
5 b& d" V J/ B
( x# @( n' V( K: y
#需要掃描的記錄檔
. \: r8 Z$ r3 v, }: | H$ Y
logpath = /var/log/secure8 F/ B/ L+ k$ D/ n/ e4 a9 I9 N! q
#最高嘗試錯誤次數
2 q5 \1 Q# p, d
maxretry = 2- h9 Q+ P0 P2 n1 v
#阻擋的時間，-1表示永久阻擋
! l3 P, R2 p6 y4 T
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
% C: E l( R( D$ }) U; |
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
" \( {- ~ z: p. H* W
getpid
; D0 M9 _8 x+ R v
if [ -z "$pid" ]; then
0 B, ~" w9 A& \7 g$ Y7 B
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
8 o$ i1 B5 N3 {% v: M
$FAIL2BAN -x start > /dev/null! ? J1 q3 ~/ R
RETVAL=$?
0 G' c( M) z) o# p
fi
* @" i1 Z* ^- P5 u: R; P1 T
if [ $RETVAL -eq 0 ]; then
- F, l. A/ H9 ?9 g
touch /var/lock/subsys/fail2ban
, V, r( i6 v' y$ ~2 @6 Y+ }
echo_success
; z$ B0 f+ c4 ^& g8 v( c$ O
/sbin/service iptables restart # reloads previously banned ip's
4 Y9 v9 [+ V2 i" J. M
else
* ]$ n4 h2 c7 f" K( z$ X+ Z' S
echo_failure' ], k: l( K* Y. ^1 f
fi( W/ v! }4 a q3 c
" v8 R, ^, j1 h% X
echo
3 ?( J6 @4 I" j- _
return $RETVAL
]; [) T3 y$ V
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {$ \7 n5 {8 Y9 C% [9 e2 b/ `( H
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
" c: b* a8 S" v; J8 x- j, \
getpid
8 W: V' M- X x1 h" s5 h( l# @
RETVAL=$?( r& f' t, T) }+ V1 T
if [ -n "$pid" ]; then3 _* a- Y+ x8 |: K
/sbin/service iptables save # saves banned ip's+ K3 [ f" N+ S0 l! ?
$FAIL2BAN stop > /dev/null
3 f4 q* w! o: e" g5 N7 `* E
sleep 1/ L( \% u. f# ]( O. i- p1 h+ T5 Q
getpid' r7 b3 v0 f+ [' ?# z4 Z- }
if [ -z "$pid" ]; then$ _8 E8 |3 @4 l& m. Q
rm -f /var/lock/subsys/fail2ban' M, L: ]5 \% k; _; G
echo_success
8 C w8 c4 k3 a8 ?" S
else
# a9 r% R# v/ ~! g3 M
echo_failure
) p) H6 N7 E3 V! v* p
fi4 X$ M3 [; G7 \
else
) T( b+ D! E+ \$ P0 |" ?1 L4 h
echo_failure- w6 c, S- M2 H9 j3 F2 z# k
fi/ j7 I) b, [ a1 R' K7 Q, X
echo( y. X4 @, E0 R8 V3 r- ?
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊