防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
4 i$ R% m( F2 p, l0 O" q
#logtarget = SYSLOG$ C. C W o1 l; E% x6 ^& @
#調整後的參數
4 w$ A$ S4 F2 Z, S
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數; ]3 S2 n X& t: b
#backend = auto
7 |" {$ x% ]1 i& L2 R0 E) l
#調整後的參數& H8 m* [ ?3 I& e
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
2 C- k# E! N% d1 _( Y
#是否啟用
# }: z/ S8 i- b) s m) y
enabled = true
1 F9 ?9 @5 b8 q$ R
#過濾名稱，使用預設的即可4 D1 ?) h2 j, `. J6 v( e
filter = sshd
7 [. T) A5 y4 o) [% S @
#iptables設定, q" N( A& G9 T+ y' F
action = iptables[name=SSH, port=22022, protocol=tcp]
; c$ _4 I& o! {8 d
#發生阻擋時的寄信設定
5 C5 C0 Y) k, z# `5 R' S- z
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]; b1 Y; E% Q+ o3 p
( D2 y* V# @3 D7 g
#需要掃描的記錄檔7 A# J& V L2 k% y- w
logpath = /var/log/secure
% `' e: N4 B+ v. X. e" I% j$ A
#最高嘗試錯誤次數
! \3 {$ G% m* w' e% r) D" R
maxretry = 2
+ f4 E7 P5 N0 d$ f
#阻擋的時間，-1表示永久阻擋 E- S) M3 B, Y1 k
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {( _8 `8 y' A! w
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
4 j: C2 ]$ r, f5 V2 |/ K7 A& S
getpid R- r$ L- S, |& q P+ b |2 W
if [ -z "$pid" ]; then9 }% I; l4 u2 O- V. t$ D7 M
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban7 g9 e6 f, v/ y( ?+ z
$FAIL2BAN -x start > /dev/null( H* z; G% y3 ^' N" G, L7 |9 D- L
RETVAL=$?
6 C* i0 R" t- O8 u
fi
$ V$ ^3 F" K w1 X0 X2 m% V
if [ $RETVAL -eq 0 ]; then
k- c! q1 z K5 S
touch /var/lock/subsys/fail2ban9 m" E5 X P) ^3 \! Y* _
echo_success) A) X' o. X4 N/ b! v
/sbin/service iptables restart # reloads previously banned ip's& h! j/ d$ z& |9 l) }- C# E7 F
else
2 Z- d( M# K( B5 L5 Z$ r0 k8 k: s4 q
echo_failure
5 k" n w' _1 v
fi
5 ]+ ?9 ~* o2 Y1 E: q% L
8 g7 a9 P4 t. r4 j$ y8 {9 E' O+ T0 R
echo
' G! @3 _- k& L
return $RETVAL7 v) w+ r2 H5 x! b
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {$ w5 [0 |1 _: ]2 w' H
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "3 a& ~" _+ c( {0 ?! ~
getpid
3 s; S9 Z3 C4 @( d
RETVAL=$?
1 M# d4 I8 c" P
if [ -n "$pid" ]; then
. l( q$ x7 H- ~* F: h; c
/sbin/service iptables save # saves banned ip's5 b0 B3 w+ ]8 u" q
$FAIL2BAN stop > /dev/null g( G2 C% Q) @6 f
sleep 1. D4 t6 u) W' G, Y! n
getpid7 X5 O; j, A: V* U! E
if [ -z "$pid" ]; then
2 i7 ~$ I C: w/ G5 G, `1 e8 L5 k! `
rm -f /var/lock/subsys/fail2ban
0 i M" s X" }! j0 s' J5 x" B
echo_success5 R: i* N8 v* g+ g& B6 ]$ g
else
' t0 S% I4 d: Z0 U% `0 O. K
echo_failure8 w8 o m$ q3 z. n0 H# z
fi- Z7 a! U3 W7 ?, I: w: M2 y# R
else/ |* E% M* }' f$ w) K) @
echo_failure
4 l1 R3 i9 D6 { q9 K' {; J7 n
fi/ G' M, E3 K" n7 e" C3 ?
echo' v# X* _ i7 L7 F0 \( T
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊