防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數" v. |& b+ |) f4 U6 N4 Y! s
#logtarget = SYSLOG
d1 ?& r/ w l3 a, U- V( m" |
#調整後的參數 q& T$ u+ X* e( I v5 N2 V
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數1 C" A7 P1 o! Z+ ^7 ?
#backend = auto
0 |+ G. q( i* `5 J1 Z1 r
#調整後的參數/ n4 x. S! v8 A
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]) Y" Z6 L5 |# Z/ r7 e$ k6 A8 n
#是否啟用
! \8 }+ J+ v. ~$ ]+ B
enabled = true
5 R: r" h: j" ]" m% T6 h" B
#過濾名稱，使用預設的即可
; T$ I7 ?' |9 A6 b: f$ h/ H
filter = sshd& a* ^$ M# v2 e/ s* e% Q b8 W9 \" M4 y
#iptables設定, w( n5 y2 M( z; d; s9 c: H0 f( }7 V
action = iptables[name=SSH, port=22022, protocol=tcp]
: F1 K8 z5 `. V6 F: t5 \) ^
#發生阻擋時的寄信設定
/ P4 }* s& o* p1 N' Z9 l9 ^. z
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
; u) k* |' H3 I! }! q0 B
1 \) g( F7 l* m$ u
#需要掃描的記錄檔0 z& T; Q. X' T2 Q" B, s# j9 l5 ~
logpath = /var/log/secure7 l& x0 P; _: f9 w- J" @# `- M) g
#最高嘗試錯誤次數4 }9 A+ k0 [ R$ ~: `
maxretry = 2
* C! O6 \. h$ P) u! r
#阻擋的時間，-1表示永久阻擋
& T$ n# |1 e8 C' k0 m% C
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {. @% A1 c9 Y' t7 s; x& a7 Y
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
4 E# q, @ v! S* ^2 o+ |4 b5 b# f
getpid* \% s/ k+ x6 b5 K! T
if [ -z "$pid" ]; then- p% J! J7 v; _+ r& I8 p) y+ g
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
3 ^6 P9 J# P& j$ n
$FAIL2BAN -x start > /dev/null
& U3 C. J$ _5 u3 X1 u7 m/ Y( U8 U
RETVAL=$?
0 y M# G% B5 r* z& w
fi
) Q ?' _! n' l
if [ $RETVAL -eq 0 ]; then
9 Z8 ]2 `+ \2 [1 o( j
touch /var/lock/subsys/fail2ban
7 C6 U) w2 W9 X8 P: r! b
echo_success- {: l; l, L9 M4 L. k
/sbin/service iptables restart # reloads previously banned ip's
1 S& C( i. @& B2 o, D9 R5 B
else7 `4 m+ `2 P$ y) x. h0 m2 e( t/ O4 M6 w
echo_failure% P! m0 M4 m! A& ~, r
fi
. i, J. O; u- t# [( k: u0 w
) G1 ]6 A2 `' ~5 L5 q }
echo4 n9 ?3 [- O/ ~$ W5 F
return $RETVAL
2 y4 C* M. i) l
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {* _* ]' c* ]5 L c7 N' \5 Z9 Y0 A
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "" k! U8 N9 K* J* c
getpid/ R! k0 k4 c9 |! o3 Q$ g8 ~, B
RETVAL=$?
6 y* x5 T" o4 b
if [ -n "$pid" ]; then
' h0 o; E7 W* D3 }0 r7 c- J: y
/sbin/service iptables save # saves banned ip's* B- X i8 @- J# [
$FAIL2BAN stop > /dev/null
5 d, w& u4 Y' o2 x
sleep 1
$ S7 ^! c* ^# b
getpid* i* a" Y& W1 C* E7 T
if [ -z "$pid" ]; then9 J/ i5 |; P( p4 y! \/ Z- {
rm -f /var/lock/subsys/fail2ban
9 m) M5 y8 f7 e* }
echo_success
- k9 E2 q! s s4 _- F. B2 J5 h
else
- L* R+ t: S7 Z9 \4 Q5 }* F; f
echo_failure
8 z& R( Y& r3 }/ m+ w4 \
fi
# E: \0 m Z( i" J9 @/ A
else
7 z5 ], _/ `+ B6 e: G# |9 ^+ }" X
echo_failure4 I: v/ V% s4 W$ G6 x+ }
fi
4 E9 U$ q k% c/ Z; d) ]$ u
echo/ R, M9 x2 O+ p$ s: {
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊