防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
6 S( d; u/ \! Q% g* \! C; b
#logtarget = SYSLOG
& j( J' ^6 R: x
#調整後的參數7 \9 N3 n4 `9 F
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數& p" C/ w* }8 k5 k, O% O( Q$ d' M
#backend = auto
2 D' K6 f7 b" Q: s. G) K2 b! T: Q
#調整後的參數
$ T6 i4 h2 [0 f* C' r" X
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
4 J7 p' M; m- @4 l9 S
#是否啟用0 ]( o1 T# B8 e6 g
enabled = true
: |2 ` {4 L% A- ~0 j
#過濾名稱，使用預設的即可0 k7 D+ L3 z3 V
filter = sshd
' U9 J, O6 a2 n2 I; N
#iptables設定# o& }# |6 J- h: f
action = iptables[name=SSH, port=22022, protocol=tcp]
6 A* [; {& p5 W" n: I3 @1 w4 J
#發生阻擋時的寄信設定
2 p* k) J( \- y; \6 E: g
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
' Q9 [+ Y' q, o8 f, c; d5 L4 g
4 d' C r4 m) i# J9 f0 S+ C1 Q
#需要掃描的記錄檔
* `! R: l1 V1 w, Q0 L4 }% }
logpath = /var/log/secure
g% p& n0 Z) q) U9 [
#最高嘗試錯誤次數9 `4 A2 f S! J5 j) u) J n
maxretry = 2
( u' J6 \( Y. h4 q& c0 B8 K
#阻擋的時間，-1表示永久阻擋
; f% e. |2 } D+ Y1 ^/ T
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {; a3 v# W/ F, i: B
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
7 }- Z* F6 H$ r7 E% _
getpid( p7 W# b1 ^7 A8 o
if [ -z "$pid" ]; then4 h4 r4 h* e: p9 O3 @, i& G/ _& g
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban6 K2 r5 n" H$ b+ Z9 Y
$FAIL2BAN -x start > /dev/null$ `2 \6 h# X: i' n8 H8 D
RETVAL=$?+ x( c- J h0 l
fi. \+ M' |% O* M l2 P: ?! K
if [ $RETVAL -eq 0 ]; then
4 l0 v' W. y' Z; K- M* g
touch /var/lock/subsys/fail2ban* N9 P* q7 [9 q/ `
echo_success! d& G! n7 p4 C9 B6 Z+ f0 J
/sbin/service iptables restart # reloads previously banned ip's% f. \- z, f; ?! H& u
else: P1 ~. { f* N3 B# C% ]$ H
echo_failure
; q) D* ]* ^ S: w
fi
! y2 i/ \+ ]2 x4 N- a, {6 |
: n8 ]6 i8 {7 G. r6 x. B
echo6 U$ W( ^ k4 R5 s
return $RETVAL$ C6 z9 ]6 q6 U7 ?
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
- D7 a% B1 _; Q# X
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: ": X- e3 I# \5 D5 G
getpid- ^) f! [/ Z3 J& j; I5 I
RETVAL=$?
' n' G3 {0 I0 G. Q. d
if [ -n "$pid" ]; then3 \% Z. }2 Z, H
/sbin/service iptables save # saves banned ip's
% J$ t6 K1 i) `( [ }: h
$FAIL2BAN stop > /dev/null! I0 h' l, Z! t* v% T9 I! }
sleep 1! ?. ~. \$ {* `" M: k
getpid
7 q7 ?+ i' l: H+ p7 U/ l
if [ -z "$pid" ]; then/ K$ F. G( K; V" I1 A
rm -f /var/lock/subsys/fail2ban
8 }, z& ]5 V3 S/ m2 g$ i1 d
echo_success
% t9 C1 h: L) H" z( |
else: A$ ~6 D2 {1 n5 o% Z
echo_failure
5 ]# x$ ]; I: V- Q4 I0 g
fi
+ ~% t5 v0 V* M& i R9 t% K! {. u' [
else2 z5 z6 Q7 @/ v z' D% ?8 O! [, ]( [
echo_failure6 x6 \- t9 T9 n' b* |
fi
5 F) e' T+ u7 a. K1 `8 t9 {2 _* D
echo: K! c. T+ }) v& K% |$ ]% p
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊