防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
+ k6 x; q2 ^) [% ~$ T) u; |9 }
#logtarget = SYSLOG3 V& y6 b% r; i7 @/ [' S- E3 C$ _
#調整後的參數
$ c3 |0 f, n9 y8 b' M1 W1 ^) |1 d4 H
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
# z$ o* S) c( }; V; b
#backend = auto
0 \/ W0 w- l% N4 Z: d# Y
#調整後的參數
, R4 u: l" n/ r+ \9 w# ~
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
4 _: Y8 q+ M( h3 a; {9 W9 o
#是否啟用5 f+ G& C- S2 J
enabled = true
' `" k0 Y4 T( s. `4 a' [6 j9 Z8 f8 f
#過濾名稱，使用預設的即可% N; }) e6 U# b* \5 }8 i! O' z: H
filter = sshd
+ \' e& l+ c4 \% E& V+ {
#iptables設定
2 k5 H2 I: Z& }, k$ |
action = iptables[name=SSH, port=22022, protocol=tcp]
# \7 V: m5 q7 Y
#發生阻擋時的寄信設定! O1 {' R0 v' y5 Z3 `4 g5 I+ \: [
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
. \; ^6 Z+ c4 w7 B% `
" ^- C0 ]$ @$ E
#需要掃描的記錄檔; R! c) H' p$ m4 {
logpath = /var/log/secure
" P/ f1 ~8 x9 t2 ^6 p% h* ]% \
#最高嘗試錯誤次數
" A$ d& a- `6 Z' Y+ L
maxretry = 2
+ \! m+ [. O* C1 c7 q; _' ]
#阻擋的時間，-1表示永久阻擋
3 j4 K5 |5 |& U1 B
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {7 E7 f" D9 I0 x' o) J* x+ _) ?0 e3 \
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "# F" c( N* Z" j- U
getpid0 \4 Q& T3 X% Q" q0 ^7 B
if [ -z "$pid" ]; then+ T3 d. y; C) j; u! a# t
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban8 M# z. ? ]! P% ?. y8 e
$FAIL2BAN -x start > /dev/null6 C% a6 J+ ^! ^* M" N2 s! K
RETVAL=$?
. G+ Y! _; i$ D3 O9 k5 @
fi) U/ I- L2 S" G1 b) r) Q
if [ $RETVAL -eq 0 ]; then3 R- f% W' P* C- B6 |+ ^8 {$ k+ p/ D
touch /var/lock/subsys/fail2ban, F! h. h; j+ [& o7 d2 p
echo_success
% R7 A4 F! H0 z7 c0 u" G
/sbin/service iptables restart # reloads previously banned ip's
T! ]& C A0 B% c
else- l3 V* Y/ M9 p7 n! R* H
echo_failure0 N$ [/ r$ N; k/ c$ G5 c
fi$ {; y8 o" M, S5 ]' `# r5 q
# y0 w$ w, | n: T
echo3 H6 ]! D. r% P5 U w
return $RETVAL; [) m; W' X5 o5 S, `% r
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
: F1 P1 ?" _' z1 s# q5 X, W( {) E1 E9 G
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
. w- l& B L7 j( M5 N
getpid1 W9 X& t, m# A! a N8 X3 ^
RETVAL=$?4 N1 C1 D/ }! b/ O% c. [* P: q
if [ -n "$pid" ]; then
. ~6 w; e, @# |4 d. G( j
/sbin/service iptables save # saves banned ip's0 D/ }, N5 v3 J. @! u* I' h
$FAIL2BAN stop > /dev/null
6 U9 c$ m! i0 s! l& M
sleep 1
( t5 T( O D) ~7 O; x
getpid
* i' k. [/ k! o+ a3 O# S) h: {
if [ -z "$pid" ]; then
' Z; d, `9 Q1 ]% o& [# j) ~0 Q% \
rm -f /var/lock/subsys/fail2ban8 O, k. _+ G. u0 l
echo_success
/ c* L* M# r1 `7 |, O& `# f
else b+ M) W. M$ t6 A# j
echo_failure
6 \ S, B$ x- p% V- E: ]4 Q
fi
0 R! d' C) V+ X& y# b" G0 s0 ?, v
else
( n3 X/ ?! c& H2 k. J; P/ Q2 r0 e
echo_failure' M" t$ ]8 _: u% N4 \/ f) o
fi0 U" n$ ^/ T, M6 W) Y; L: y
echo7 n6 p( m/ V6 J# O6 v7 R
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊