防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
2 s. }% h! r! |% k
#logtarget = SYSLOG
, Z# O% [5 z `& U6 I
#調整後的參數6 {# Y- N5 B+ I2 k; K+ H
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數7 s; h0 I- M4 Z! q
#backend = auto % k8 u9 a* ]" G1 L
#調整後的參數
/ a& t% {" e7 Q1 h
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
+ w6 A) a! L0 U. x% R
#是否啟用' B1 N: k0 p, R7 z! s0 p1 R; C1 W
enabled = true; V$ @/ P* `6 t" ~! R
#過濾名稱，使用預設的即可
% W2 w) ^$ j8 Z) K7 m% m3 g3 T. s
filter = sshd
/ ?) |- `0 B! V @6 r
#iptables設定
% T$ P; H5 ~( r6 ^# g& l
action = iptables[name=SSH, port=22022, protocol=tcp]' ]7 \& `+ x" p+ v% x
#發生阻擋時的寄信設定# V( O, b" v5 M' N
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
" ^! n/ W' g H! H, o8 L
. B4 S2 p- }- B/ K2 B
#需要掃描的記錄檔
0 D! Y/ a* C( ]! @" l
logpath = /var/log/secure
5 [2 C- q) |: T( h# b9 v
#最高嘗試錯誤次數
" S n; @! H# E$ Y. |
maxretry = 2; ~7 l0 o9 b) z5 s2 r- A* |: y: x
#阻擋的時間，-1表示永久阻擋/ N" j* U9 M: c: P3 W( T( q8 \
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {( b: p5 a4 i( \6 N) c
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "3 o" Z4 r- F5 q' M% I' a
getpid
" w. \* u% b$ f. ~; c+ t
if [ -z "$pid" ]; then# U' c% U0 u2 E" W/ D
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban e0 J: T2 {. z
$FAIL2BAN -x start > /dev/null. g- N$ T, o2 b: R o
RETVAL=$?
! F% F5 u! A, D; U% f* f2 G" q
fi
6 |9 s/ v) h/ I. w: l
if [ $RETVAL -eq 0 ]; then
w7 S; M" e( w2 A! W- t
touch /var/lock/subsys/fail2ban
: T T$ n5 g% [& U1 G$ e
echo_success% O+ F& _3 v' l! t6 `. O
/sbin/service iptables restart # reloads previously banned ip's
1 c8 D- Y% F, |: L+ ~
else. a8 ~2 H L4 L3 y) Q$ a) s( _' `
echo_failure2 F y# h9 m( z
fi% _1 M! B2 z8 `( P
: d3 {2 |& | |$ t. i* W6 }
echo
3 t9 ?& l- V8 {2 s& X
return $RETVAL
" a1 T2 S l. n) [- M0 r6 v
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
/ F J x& o: v
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "8 c- c3 ]" f9 |$ q7 |. l# p" J7 P& \5 ?
getpid/ _9 s5 ]5 a \! y t* Z/ D" x
RETVAL=$?0 g( q. j1 k. N; O
if [ -n "$pid" ]; then
8 S8 z! L: r8 E) |
/sbin/service iptables save # saves banned ip's
) O$ z) L8 u1 J8 ]3 D3 ^9 V4 p5 O
$FAIL2BAN stop > /dev/null' @$ M! a, H1 A- ]
sleep 1
* z* s/ I. ?* z! f: g" o' x" j, o* b
getpid
1 t; A. h- j/ h: ?
if [ -z "$pid" ]; then( q8 |/ n2 h5 e/ r$ E0 d
rm -f /var/lock/subsys/fail2ban
7 r( A, r7 Q j) Y( K- J' g
echo_success, E/ U- U% ^/ b) [; e' ^7 ~: [2 v+ e
else
6 @; g5 y+ O+ m* E
echo_failure# ~, Z+ l7 V# i, `, B. r! v3 e% ^6 o& d
fi
& S, ^$ S# d9 g1 {+ E! v
else
_, t/ Y6 Y. c
echo_failure
5 \0 j6 Z- d" n# e
fi
/ c* W2 ~* g& q6 I" R5 x5 ~8 i( y9 s: m
echo
" }* ]7 n& [& Z7 j+ w: N3 J ?
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊