防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
( u# \# _8 i( A3 i. F
#logtarget = SYSLOG# E7 e, @* j4 Z) U9 l
#調整後的參數
( B# R# S( x% I1 Y1 t
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數- Q, A7 N3 d9 s0 E5 q9 E& ~
#backend = auto
# I8 s4 i$ z$ h' z* E
#調整後的參數
7 i; P- x4 O( c6 K" Z
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]6 B0 Y. q5 ?! w0 j5 Z
#是否啟用1 u# c! k; _3 ^2 ~( h
enabled = true' |: _3 L& D1 O, K% y
#過濾名稱，使用預設的即可
# m |& @+ G" r
filter = sshd
. ^- [. [# J f* [
#iptables設定
- J0 W2 S- W$ J2 n8 a
action = iptables[name=SSH, port=22022, protocol=tcp]
b4 a/ o/ Z3 S1 q+ `- P
#發生阻擋時的寄信設定2 F6 v3 G, \3 @1 x0 {. o+ u
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com], j# }+ y4 G. _/ r8 d
1 N# w4 t0 [0 }$ R0 X5 X% Q
#需要掃描的記錄檔
7 C4 S7 O6 j. d3 O
logpath = /var/log/secure
0 [1 o! X# N& D2 W( J/ i8 O2 i
#最高嘗試錯誤次數/ F9 V/ G! B. v( C
maxretry = 2
# U- r$ w: M/ \3 @7 U
#阻擋的時間，-1表示永久阻擋8 d, d8 S' S7 @+ X# N: C+ r
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
( w9 z! c4 x6 S- U
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "$ {' U f5 T; m+ ?3 }, c% `
getpid
! D8 T/ X8 G% z6 I ^4 R4 p6 G1 b
if [ -z "$pid" ]; then' S/ i5 K1 D9 v; y/ @( ?- ]
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
7 ~9 e+ @+ d; e" }& o
$FAIL2BAN -x start > /dev/null
6 a3 Q$ X: z! _4 h- J$ |2 [
RETVAL=$?
4 a6 @3 o( {* N
fi
) V% A/ s0 O6 ]+ E& \8 D
if [ $RETVAL -eq 0 ]; then6 f, g( }/ \6 Z
touch /var/lock/subsys/fail2ban9 r0 Z/ c2 j6 n* [! ?+ c. J2 o
echo_success
% W: x* s1 q1 y+ |. H {
/sbin/service iptables restart # reloads previously banned ip's
; i( t$ n7 p( i- |
else
$ V8 \$ l) [/ V6 n: ~
echo_failure$ z& F: E i; }8 W% t
fi0 I/ |" g, _$ Y0 O5 ?# F+ `
; s, P* ]6 l& x' F. U5 m3 |# q
echo
5 a g% q. l" g
return $RETVAL. r- b/ l8 M) M, \! a& m
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {4 q8 |* A( s* `6 }
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "( w4 W' U& u& o
getpid
- a0 t) Z7 ]7 M' c: f7 \1 k' T
RETVAL=$?$ k; T5 _( M2 ]) a% S. I5 G* k# a2 L
if [ -n "$pid" ]; then8 x: U& J9 S: X% G* [
/sbin/service iptables save # saves banned ip's
; B3 V0 s* x, p1 q- e+ @2 J
$FAIL2BAN stop > /dev/null
# ?& W9 Y1 g, U% `
sleep 15 G8 G) R: |9 M/ ]+ k% I
getpid
& Z1 J x- a5 q' f. k' ^7 u$ j) X
if [ -z "$pid" ]; then
6 `; r" B4 k8 S7 s
rm -f /var/lock/subsys/fail2ban
/ b' F* n( p* l0 u5 o
echo_success
$ }8 U1 I* N0 g5 o. l) c5 o) I
else
0 |6 y' a1 |$ P n, K8 q8 c# B2 K. X
echo_failure. K5 y7 ~5 K3 R1 A1 f
fi
* T8 ^. j1 T9 ]5 ^9 E T5 s# x
else
/ F' W/ n2 P+ {
echo_failure% g9 A% ?3 E. Q7 I7 R
fi# F0 b8 d: @: y. s- j& }
echo3 c7 z" h: ^4 c" I8 y
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊