防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
9 c( G* U. ?2 u; r9 j) _: V
#logtarget = SYSLOG+ v5 L/ }5 u( h# o' d7 b
#調整後的參數
; n; f5 T; \: v" x# M6 s
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
2 Q0 q( `! a8 t: X- Y
#backend = auto * R5 U$ c( g7 l& p
#調整後的參數
/ U: Z/ J2 M( }: u9 [7 J9 e1 Y! N
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]- Y0 H0 C; A* E3 V1 j: h# E; [1 L7 _
#是否啟用
' K. r& J5 o8 R: }, b
enabled = true
" ~: q% \$ y2 \2 Z6 V! f$ {9 w5 k
#過濾名稱，使用預設的即可
! M5 S" D( ~: x: r, b
filter = sshd
/ F8 P% ^" `) E& @
#iptables設定
4 Q1 i2 I- a: d0 T# |
action = iptables[name=SSH, port=22022, protocol=tcp]
3 a. d$ a4 b( S- a4 `" M- ~
#發生阻擋時的寄信設定
: g. v M5 S8 m; v
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
3 ~ E3 a* Z" f* L" ?+ T
' K; n P( ^' _3 c
#需要掃描的記錄檔
( t4 w+ \( E; r" ~' A
logpath = /var/log/secure7 |) Z; k T( E, l8 K% F
#最高嘗試錯誤次數/ X0 ?- G! W3 Y1 B5 T. ?
maxretry = 2
5 \& X z9 E/ i) s0 v# g: T" R7 q
#阻擋的時間，-1表示永久阻擋* ~9 N% L) j9 {8 [
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
8 L7 D9 K, [; J0 _
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "5 u* H; k: F0 I9 z) S
getpid
$ o1 }) \# G+ M1 S: x* f# y6 q( ]6 G
if [ -z "$pid" ]; then- ]# P: I6 c3 r$ B
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
$ _6 c: C: c6 b
$FAIL2BAN -x start > /dev/null# y7 x' ~$ u9 G9 B
RETVAL=$?) f; G$ S$ ?6 j
fi( I1 d( u/ e) I9 I- Z
if [ $RETVAL -eq 0 ]; then9 a, D& E) Q! `6 C, r7 }
touch /var/lock/subsys/fail2ban
, Q2 k3 a0 Y6 X* j: \1 V
echo_success
9 ~" ]: L& U( F$ P
/sbin/service iptables restart # reloads previously banned ip's1 p( G: } h2 P
else
) B" C8 W% Z0 _6 M* `' w
echo_failure" C; z1 J4 I3 T3 y
fi
& Z, o8 D4 |7 Z+ D1 H
x# @8 ^7 k9 V, G9 ^$ c; x+ O
echo
# ?% W0 ~+ F3 n" c: K
return $RETVAL& o; h+ W( n$ b4 k$ Y
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
, E. \+ a& b% }/ O
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "! ?3 t: b: E$ ^
getpid
) s" E3 f& N% `
RETVAL=$?
6 o2 S [+ ^9 z' L. {8 O" Z
if [ -n "$pid" ]; then7 a8 v8 X/ T6 k3 i4 s
/sbin/service iptables save # saves banned ip's8 p4 L2 ?4 O% ^ n
$FAIL2BAN stop > /dev/null
2 v& x! B; @. G* j+ |* e. S! b
sleep 1* q( G# d- A! ^1 n5 P
getpid
/ R. y, ~. y7 P% w
if [ -z "$pid" ]; then: k9 I1 L( G( _7 u' l& q
rm -f /var/lock/subsys/fail2ban
1 `; r5 P3 h2 x- L7 V# @
echo_success" k. j, x4 x9 o+ g2 @* j
else
$ o8 r/ u R7 O" X: f2 B4 Q6 Y, p
echo_failure
! B" H* s2 P9 F7 G: [$ k& G+ f
fi/ i7 b# a1 T$ ^6 ^' K4 h+ l2 v# r
else
; j$ h' ]+ t* t% V% t4 P) N) }! ~
echo_failure5 F7 I. L, D- j0 x
fi
! [) P' u: z+ l
echo$ N' [5 a ]$ D+ C
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊