防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
E# q1 N% f F
#logtarget = SYSLOG
9 i6 l9 H3 G6 h; i
#調整後的參數
) m# Y& y# `( X5 O. h7 Y0 d
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
) c$ ^- w1 g+ i' |8 l, J1 l
#backend = auto
( F d9 y+ C- L0 a
#調整後的參數
. |5 C: |1 x* T- a- i1 G
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
( l( p" B' A/ ]0 X( `
#是否啟用
/ G. Q0 [/ K& w. y! `8 U
enabled = true# D O$ N' H. {# h0 X9 ~+ n2 g
#過濾名稱，使用預設的即可
- e6 U! K% R% a& O0 S: G/ y* \
filter = sshd P; B) V9 b6 p5 f( G% L8 J" R) I
#iptables設定
( N" D* i# f1 e) ~$ i
action = iptables[name=SSH, port=22022, protocol=tcp]/ A: ^) K8 R3 H z* E
#發生阻擋時的寄信設定
' S+ r% ^' f/ C) z( c
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]2 V7 }6 `) F! @/ k& F( F
; I$ X# b8 g: g0 d
#需要掃描的記錄檔
( B7 c2 H# ?0 E' F
logpath = /var/log/secure
( Q" v& ?- ~- H. G3 s7 a5 ^, {
#最高嘗試錯誤次數
2 u4 ]% P2 {: T# Z2 P! ^
maxretry = 2: W+ m; M+ ^# l; h
#阻擋的時間，-1表示永久阻擋 E" Y6 V" B) @) ~* @" i
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
( F7 z3 p5 |% i% n6 h4 e* }' p
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "0 N, k$ D7 A' T
getpid$ B9 J5 [+ \$ q& Y: q& d
if [ -z "$pid" ]; then: x+ \. H: R/ I$ @
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
* T+ {+ b; S9 A/ `" F
$FAIL2BAN -x start > /dev/null
" Z* K }" b( ?; T K* i$ I% x
RETVAL=$?# z, j$ s: \& N/ |1 D! D! k
fi
* ~; A% I. G. m; v8 }+ N+ H
if [ $RETVAL -eq 0 ]; then
0 ^5 w8 t& U q/ s8 ^+ E
touch /var/lock/subsys/fail2ban8 k! k" Z/ g5 U% ^2 Q
echo_success0 ^5 T! R* _$ P7 ?
/sbin/service iptables restart # reloads previously banned ip's
5 @2 B0 s$ P2 k9 t. l+ ~ L
else- x, k9 ^" k( r# S7 t
echo_failure
5 v& }' ]# L( x! Z1 ^+ t. {/ f
fi
2 ^& }& e& `" C( z
6 \8 T7 v% m' E6 o- F
echo, @3 e0 P/ M2 n) u. t6 a; X" G
return $RETVAL% E7 F% y. W' U4 B. e0 {
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
! z$ R. ~4 |6 [2 ?/ ~/ n- I! H3 k
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "% ?0 z9 q& o% f$ L- ] r
getpid
+ W! _9 J1 Y5 W
RETVAL=$?9 p6 {+ @# {' [
if [ -n "$pid" ]; then1 d/ i7 B* H, C1 }7 b) G( a% f
/sbin/service iptables save # saves banned ip's
4 W# L# `( R2 g7 x' w+ C3 H
$FAIL2BAN stop > /dev/null
. Q& z) _' l3 c6 {
sleep 1
8 q& W$ m; |5 b( p/ f& P+ }
getpid% z( Y" P- M! Q1 U4 u Q( o: s
if [ -z "$pid" ]; then+ B/ L& S m6 B4 J2 O* a* k& c) J
rm -f /var/lock/subsys/fail2ban \- C3 x: ?: ^1 X1 D) v
echo_success4 T0 t c' |0 F
else
$ _" I3 a& M5 }+ Q
echo_failure. o# o: u$ y v- D: n/ D6 s
fi8 u. b2 J9 h% _
else3 E! E) Y7 Y3 |% Y; l/ F* V1 s
echo_failure* X* m& L7 T J" P5 V
fi
; e: A) {5 w4 s- a; h0 s
echo
7 s; J! g, U1 u5 g1 a" Q) B% B
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊