防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數6 a0 ?' |0 w5 _, h9 ~+ C# i/ m( O1 }- a
#logtarget = SYSLOG
, H# d" m" J; M& }
#調整後的參數+ K7 a* U! S6 P5 I2 j$ V) Q
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
* l* B% C# r- R4 E
#backend = auto
0 z4 O+ H3 ~) Y9 L, @/ X) M5 H
#調整後的參數
3 l) n( ~5 }" ]5 n3 I( W. j; u, x
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
- [# v( I* x( G+ s: R+ V/ I# t
#是否啟用( L @8 G" S" x/ [
enabled = true+ m: l1 q* Q# R1 r# \: }8 W- y
#過濾名稱，使用預設的即可1 d N; ^: F7 a, a
filter = sshd
( h+ w( M; F# o$ F7 k
#iptables設定2 r& M% I m- y& ~
action = iptables[name=SSH, port=22022, protocol=tcp]! [5 v( V* q3 c1 B+ [) M+ Y) j% C, y( k
#發生阻擋時的寄信設定+ }. W6 |, g- X; d0 U- W( E. D
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]1 R [* d- m6 U& u% ~
, \ m3 g! ~0 @ S' v0 S
#需要掃描的記錄檔0 ?* s$ ?# J" `( L9 r) L
logpath = /var/log/secure, R3 t+ [) h; X! C# F/ n! K
#最高嘗試錯誤次數' b1 X" ^! P0 ^1 c( P
maxretry = 2
5 C: j- R X$ S4 \- E' u7 D
#阻擋的時間，-1表示永久阻擋+ Z+ b) H8 K/ |' e7 I4 S, y
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
4 [$ ]6 m4 K ~$ q: O) i
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "+ X w" M" Q- Y0 m2 w$ a
getpid5 m r! ]+ O4 |. I9 F! R% u
if [ -z "$pid" ]; then
+ N) @4 A) J* G' Z3 `$ X8 `+ R
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
" V) H0 |$ A7 E7 M0 k+ n- F7 `/ Z
$FAIL2BAN -x start > /dev/null
9 O) |! K) `( a! w
RETVAL=$?6 E* d F- [# ]* G
fi- p) z* k; I5 V- l7 a* t
if [ $RETVAL -eq 0 ]; then
% q# I1 y; B5 R4 ~+ w9 n
touch /var/lock/subsys/fail2ban
; e3 K# O3 ~- a0 p0 G- z
echo_success
m6 R8 M- d" L1 H
/sbin/service iptables restart # reloads previously banned ip's
# M% d: q( p) q% X0 I5 W7 [) j
else
5 c' A5 f H. J7 ]9 g/ ]
echo_failure9 f" f+ p; \6 O3 Q4 P% D& k
fi
r, b+ `- o& W$ l7 q6 h
, p) q0 n5 a6 R% {# o3 B- c% C
echo
+ D1 c' m' z) c) \0 c
return $RETVAL& b* E0 ^. Q! S" r3 M/ @
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
+ }3 s2 o! U' R: t1 c: @* }
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
8 k. D) a4 Y1 R, ?) j0 z
getpid
C4 Z1 T% D7 p( X* T5 e' J
RETVAL=$?
& c0 i+ c8 u' ^; }1 c: o( J/ J9 T, C
if [ -n "$pid" ]; then. |& `) t# f- r" `8 q
/sbin/service iptables save # saves banned ip's
- e% S* X) b8 P' A! B
$FAIL2BAN stop > /dev/null9 x8 v$ ] n/ l `' r
sleep 19 a, S1 J, X# [
getpid
4 k) \2 f5 ~( } I
if [ -z "$pid" ]; then
5 p$ Q. e# R" R6 W
rm -f /var/lock/subsys/fail2ban0 i2 D. ~8 h2 W
echo_success
& H+ W' C( [/ F$ }. D7 V6 I
else
) ^6 g$ z7 T3 x5 ~# T0 p' r+ b/ l
echo_failure$ d; f5 W% P# S
fi2 n: ~- P. m3 b9 c: S; y
else
echo_failure
! G; t9 U$ I. }
fi
6 o0 q7 A* ?% [2 t9 `9 a4 s
echo3 X& c3 q. x( B0 m8 ?7 Z. F5 t
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊