防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數. I( J) X2 I4 k- M* Q
#logtarget = SYSLOG V8 k, L& {) v" _) X
#調整後的參數
6 V+ J+ b1 e% x: [9 e
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數+ M, m) `8 o/ K; ]) d4 V
#backend = auto
, T- d% c9 S! [. T$ ?4 u
#調整後的參數
9 d. K6 C9 m2 h% m
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
4 Z: @1 }! u0 a3 f
#是否啟用
5 w' w" \$ k4 M4 x8 O; w
enabled = true" H% ]# ]" n: S* ~. k) Y
#過濾名稱，使用預設的即可
3 K3 X3 |( U) Q8 O( g; X% o
filter = sshd: h& I. }4 z) Q0 _9 F% C9 G
#iptables設定) q' N4 t! |! C+ W
action = iptables[name=SSH, port=22022, protocol=tcp]- d+ m2 }' `" A2 P
#發生阻擋時的寄信設定1 B' J$ q& u, D* v; s' J
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
5 m' Z4 x, `4 M% ]0 X0 O: D; g! b
# j z( o2 D4 a7 Y. `
#需要掃描的記錄檔8 V, e0 J( ~$ ]+ f- w9 d
logpath = /var/log/secure
- `4 J' g4 G( a5 R: \+ G5 P
#最高嘗試錯誤次數 s! D: w9 i: m5 i) A
maxretry = 2
& V1 j* g, Q# @# w& |- f
#阻擋的時間，-1表示永久阻擋) H3 b+ g/ R$ G3 h3 T
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {3 h5 h9 E2 _$ O9 f1 i
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
4 H, S3 c" u( g- G4 ?) X
getpid; |; b# d1 H# J, Q4 o, G% H
if [ -z "$pid" ]; then) l. I0 _! `. X4 W0 |9 e6 j. K, s
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban# U( C" k( b: R9 L& V d2 H
$FAIL2BAN -x start > /dev/null+ f" R, _' p. O4 R3 z
RETVAL=$?
" i( L( m* S; o1 K7 j9 c, K
fi8 R7 q* a2 H8 m
if [ $RETVAL -eq 0 ]; then
* ?( t" N p1 ~8 o7 h. b
touch /var/lock/subsys/fail2ban
9 | i$ ?- B6 y
echo_success" Q0 a0 E5 h. S0 f: ^# ~
/sbin/service iptables restart # reloads previously banned ip's
& x/ w* t* r2 b% m/ A
else
3 w2 H5 }. W1 U0 |
echo_failure
! U9 u* ~' T l# K8 p5 a
fi
0 T0 u Z1 u9 S% l2 n) T' h! m/ ]
5 |1 b1 H; m; \* E: _
echo. \# s( \/ W" L* @, S
return $RETVAL
# E$ M8 S9 c* z; x: f$ B5 R
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
/ B, F& J( e# g: o6 t& K8 N
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
+ Q+ A- N/ W ^
getpid
; N1 ~) y4 P9 X- k! H9 H" P
RETVAL=$?5 ^4 q& F7 M5 k1 {* h( } k
if [ -n "$pid" ]; then3 Q _5 |# A z" \) j
/sbin/service iptables save # saves banned ip's r) a1 l) q/ x$ c2 N, |" L' _, z
$FAIL2BAN stop > /dev/null& l F u8 S! M6 P
sleep 13 Q: d: v3 v# P4 J
getpid' c7 g7 }! ~& }3 s1 q3 E
if [ -z "$pid" ]; then4 p2 G; M8 d( d5 d/ S6 a$ `
rm -f /var/lock/subsys/fail2ban
; E; W+ M5 ^$ r8 C, E# m
echo_success% ^2 {7 a1 m' D
else. D( u, t5 _4 V
echo_failure
1 o3 h6 A( B1 v( M/ f7 I
fi
- V: U& V# Q0 J9 p) l, ]+ G
else6 a7 I2 {& @: A( G) C$ }
echo_failure
5 n* K" O$ e. m, B: O! r
fi
6 U" w e2 I) m1 \
echo/ A! k9 F. Q9 r0 ~0 T& \) r
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊