防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
4 [4 I4 q4 M3 ]5 p: {
#logtarget = SYSLOG
0 t1 N7 H6 M( {# p4 C8 Q1 w
#調整後的參數1 q# R6 F9 y# Y8 Q4 N9 R
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數 j9 q9 M+ N% |% C' G4 A& |
#backend = auto
; r; e; r. I$ X( S9 n7 Q
#調整後的參數
1 U5 G! g/ `, J8 k7 \
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]! y3 i2 R% _4 R4 _& }7 W% K
#是否啟用5 i( @1 A8 _# _
enabled = true6 ?' D- B( n$ O$ n2 U( o8 J
#過濾名稱，使用預設的即可
7 K6 Y% V: { D. ]
filter = sshd
1 @5 P9 M- x% r3 e) v
#iptables設定
6 K1 k9 S) x5 _+ Z* p: W; P3 W
action = iptables[name=SSH, port=22022, protocol=tcp]
' g0 L6 o4 f( G) e/ B
#發生阻擋時的寄信設定
) c' N; n' I' R) G/ s
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
: D }7 P2 W' C' s* @
9 o+ i: C5 W' c7 c* J0 S3 I
#需要掃描的記錄檔
% b) o. R+ A' X$ d3 s( b: q
logpath = /var/log/secure& t8 Y( ^! F. N4 x
#最高嘗試錯誤次數8 M" |! E( H* j* M B8 L
maxretry = 2
& U: Q( e$ k' e9 S/ {
#阻擋的時間，-1表示永久阻擋
3 b7 O" r3 \& k0 T, g
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
5 }$ Z/ i: F* w% [ c' O
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "( E+ ^" \: G. u: Y/ L7 D; W
getpid
% a2 l4 n1 a( k
if [ -z "$pid" ]; then6 O% U V: W7 G4 j) w3 i) `- d; d7 P
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban y0 N/ M/ |5 g S3 j, D' j
$FAIL2BAN -x start > /dev/null S* c# ~+ u2 D; q
RETVAL=$?+ ?+ f N# C8 y. S# L. ^7 _2 v
fi
: t* Z& k; }1 E( O( ~4 |' g
if [ $RETVAL -eq 0 ]; then
, R2 r& ]4 v$ p
touch /var/lock/subsys/fail2ban5 S$ D. w: ?' L* b
echo_success/ W% [4 K8 E+ M9 o0 K3 u
/sbin/service iptables restart # reloads previously banned ip's& A/ v" ?7 D4 _$ U3 X/ y
else
. O% D% e# e# \5 R
echo_failure; f h' }5 u, v" [6 ~9 v
fi5 n2 U: N m( q: `3 x, m
$ a1 k+ J5 J* t+ Q
echo- |3 E+ u+ P5 q" }, F
return $RETVAL1 A) x/ C7 H. F# T
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
, {* q2 O# ^ k0 I6 J+ [
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
" g! |4 ^6 K: h+ r- p
getpid; _8 L3 C0 Y6 i# [: a8 @
RETVAL=$?2 q, L2 @3 H3 M" t2 r
if [ -n "$pid" ]; then9 C Y u" r' n9 E) t& X' W
/sbin/service iptables save # saves banned ip's
5 g. q3 y* v! H+ L
$FAIL2BAN stop > /dev/null
7 w4 k+ S% I# Q$ r3 y
sleep 1+ Y- k: |& Z6 q2 [! \7 O' T
getpid
6 ^) C0 v" p4 i6 c( t' F
if [ -z "$pid" ]; then
0 {4 A# y; |+ Q" ~, i
rm -f /var/lock/subsys/fail2ban
$ Y& o4 }! R1 F! Q2 h. z5 q0 M! w
echo_success
: ]! `9 A* e4 f! w) K
else
8 a5 o+ X4 u4 r& I8 e4 j% l
echo_failure
% O0 X+ @" D9 g. V
fi
- d* O$ D1 m" g
else; Z, q; ]3 e4 K3 R- {
echo_failure: _" I+ K+ f. J o: i1 e
fi
0 T8 _4 s. S7 T8 S' B0 ^) ]
echo
- l, {) Z) [+ [% _; R
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊