防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
7 c* M% w. l/ J W) u x
#logtarget = SYSLOG6 F0 y u A% e+ @( p# w$ H0 i
#調整後的參數
5 m* o! a4 l" a! y7 {4 p4 V
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
# r6 x( n, V2 W- V
#backend = auto
( \0 S' A' i# z5 r
#調整後的參數+ E! @4 l0 @1 O8 S* B
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
) v2 E) [! a( @) f
#是否啟用9 ]# p3 x3 w5 W3 U% p! s
enabled = true/ ^; f+ r5 u8 P( u( F! H2 d
#過濾名稱，使用預設的即可
* P: C8 E% j7 V8 w: }) H% F
filter = sshd
6 |' ]8 g/ @$ f; f
#iptables設定/ p$ ^$ K6 I- i+ s$ d
action = iptables[name=SSH, port=22022, protocol=tcp]
% C3 F/ Z5 C/ j# |8 w9 {( b7 j
#發生阻擋時的寄信設定+ j$ G$ C7 h% m3 X1 J% F8 R* T5 ?
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com], E. T! x2 F Y* S. T& b8 u
6 W6 w9 J3 n9 S+ w
#需要掃描的記錄檔0 \* c" w2 b# I q8 x( b1 g" y
logpath = /var/log/secure
5 H, P% v2 i# h: d7 H6 \
#最高嘗試錯誤次數
* Q- U# o0 [$ n* _- ^) N7 e/ K/ [
maxretry = 2
$ A# A& r; d' G! @
#阻擋的時間，-1表示永久阻擋
$ E7 ?2 x: Z0 B2 s7 s
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {: S- b* p( I) I4 H4 }
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "3 G9 ~4 Y' n7 k3 P
getpid' W5 s# y+ _" Z0 W+ S: A! G
if [ -z "$pid" ]; then) [+ v% \( O0 n9 I& y
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
1 `# S- Y7 P% y* c! C
$FAIL2BAN -x start > /dev/null
2 B, P0 p6 B$ W2 V
RETVAL=$?
9 R6 t5 X4 x' |0 }
fi& v. v0 ^ k6 }+ y: I" j$ {
if [ $RETVAL -eq 0 ]; then c3 b' {& P, n/ `3 K% Z
touch /var/lock/subsys/fail2ban( J9 S7 V: g H1 _0 T$ s( l0 v
echo_success) a* n3 J8 D; F+ [" n5 d
/sbin/service iptables restart # reloads previously banned ip's- K0 e- e6 p% ~8 |, k2 A
else
9 P' A7 C. U9 _2 F6 j& c
echo_failure5 s7 h* u' r5 D+ F1 K8 t
fi0 _1 k6 m% i& P/ r+ j# g/ i" l
* `/ [# h& ^2 z b$ z: i
echo7 e' X5 k2 ?! z+ ?2 J- [# l0 d% ^
return $RETVAL
, H, T- X w# n$ }
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
' i* u/ R0 G/ G5 ^ ?4 M8 B6 |
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
7 R' P4 N- h2 H: h2 W
getpid
]) a( q, Y' W( y- y
RETVAL=$?
* j' Q; g9 V1 G6 A5 i3 Z
if [ -n "$pid" ]; then
6 C9 N4 ~# E3 C6 a6 G! F
/sbin/service iptables save # saves banned ip's* {2 i$ ]. o( @- M
$FAIL2BAN stop > /dev/null
; ^) `6 Q0 Y7 }: I7 g( b
sleep 17 q' E. }. a( ~
getpid+ d: {+ U1 g$ r# o. {
if [ -z "$pid" ]; then3 h# _. b7 z- F o
rm -f /var/lock/subsys/fail2ban
$ r, b; M+ ~! E! F6 F
echo_success
) r( s7 f% V5 l j4 r7 A
else
& @7 H6 {$ {# N b+ Q
echo_failure8 s! |& i3 J# }7 k' A5 \$ E: \
fi
% f) q: y! ~, U
else# T( n7 \ j2 X9 S6 G' A& s
echo_failure
; u: j% O) A$ d' [# I( V6 f
fi# p( g: z: }6 a" e
echo
, H8 c; I% t, q% o4 I; U
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊