防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
) d& @3 |8 H9 }% P+ C* R' g* m7 V/ L
#logtarget = SYSLOG
% j$ {% T, x$ ?. L3 r' U0 K- Z: E
#調整後的參數, G3 R8 j2 Y9 l9 x5 q
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數, Q6 Y6 J0 x6 g: k
#backend = auto
; q1 k( @1 t* P2 e' W+ w# u, U0 \, B
#調整後的參數! b% i% C# d. s8 p! t2 c/ M
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
6 a9 V- r8 ?- w& h' i3 S
#是否啟用( T, K2 H- Q: c# h1 i% i2 o
enabled = true9 S- [8 E3 R2 x! F. [
#過濾名稱，使用預設的即可
1 w7 p3 v1 v" L& [
filter = sshd
4 C; z* U4 R* h _4 x! T. {
#iptables設定
2 X0 ~' n; S' [, A8 T
action = iptables[name=SSH, port=22022, protocol=tcp]9 m1 h0 L/ H5 T( Z7 [3 `( s
#發生阻擋時的寄信設定
1 K0 F7 F0 `6 x& V
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
F5 ^! [$ @3 j
/ b4 F ]7 Z# h* _' h3 U
#需要掃描的記錄檔
" ]# L# w& C9 s: ?
logpath = /var/log/secure* J: y/ G+ k0 k8 @
#最高嘗試錯誤次數4 x8 q2 z7 Z1 B% I& v+ H7 s1 @
maxretry = 2
" G* q+ n9 n: K
#阻擋的時間，-1表示永久阻擋
; ^7 L- \& I* s0 r
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
/ C: u8 A# i. B+ x: I7 v
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "9 Q6 V$ }% N+ E
getpid* `7 x/ z& y* v% c- n- h
if [ -z "$pid" ]; then) C2 `1 H3 ?' s" U. K
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban! c! J! _) S z$ V; N
$FAIL2BAN -x start > /dev/null
: @7 Y. A0 O/ {; R
RETVAL=$?
2 J8 x, y( X/ U$ a
fi
6 S# I i) o: `& P/ w4 w% G# M
if [ $RETVAL -eq 0 ]; then
; ]$ U5 i9 g# {3 @& \; e5 w
touch /var/lock/subsys/fail2ban1 [6 P" j1 Q1 w$ a# W. |1 J
echo_success
% W7 ~- E' r; Q& @2 g& n
/sbin/service iptables restart # reloads previously banned ip's
: N6 V4 Y; K% |' q
else* C% Z+ a) \. {" a. u
echo_failure
' P9 u1 {) l6 x
fi
9 ~+ v; {0 l; t# n) q
3 \- |# h: S9 V. g+ E
echo$ z# D7 c S y: [5 U
return $RETVAL5 k5 Z" }* i; @( n% T
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {6 a% W; x7 x$ F& a1 T/ G9 _
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
( E( {1 J9 X, A: k S! v
getpid
: B, M% r( U |
RETVAL=$?# D5 z+ T$ c3 d+ s
if [ -n "$pid" ]; then g3 u& N. o, w
/sbin/service iptables save # saves banned ip's
! [0 t5 E: Y" e) U
$FAIL2BAN stop > /dev/null
2 b y: ^8 [2 [* N. t
sleep 1
, U) a$ Q, p( a/ i
getpid
1 @0 ^7 X( U2 Z1 T" j: F$ _
if [ -z "$pid" ]; then
; @( k% I& ^( f8 q0 A$ ~
rm -f /var/lock/subsys/fail2ban
3 V9 v4 n; {/ t2 N9 b+ C
echo_success
2 z! f) a4 N7 D# F, Y7 i
else
6 s" p! l" T/ P4 {: p
echo_failure
# m$ E1 E. P6 A4 y6 r2 ~" H
fi
" u; k7 c0 V' ^; Y4 m2 k/ X
else
0 M9 D v0 X* K5 h5 |' y5 k+ T
echo_failure: K8 ~/ E2 d: O1 H5 j
fi- `$ w9 d. p; y- R+ H0 Z0 L
echo/ T0 }6 K/ y& P8 ]/ Q- B9 x+ A
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊