防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
/ D: i/ o& S9 f5 {
#logtarget = SYSLOG7 P# A4 w/ Q0 B/ F# n Z' S n
#調整後的參數. T7 R# u* @% g, T) ?/ h
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數6 R& k' }* m& M6 P) Y
#backend = auto
s2 y& c# ?7 [* Q' h
#調整後的參數3 z. ~7 e, T3 h- g
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]3 b6 `! T$ O$ Y# ?
#是否啟用
% i$ l' y& x' M" `5 A
enabled = true# a% D2 c. _7 K1 g; D8 n n
#過濾名稱，使用預設的即可
8 J9 Q7 w# W4 k! I$ i
filter = sshd7 v' h* F4 k D9 x) M6 y- s
#iptables設定
6 D2 }8 ^9 ~7 t
action = iptables[name=SSH, port=22022, protocol=tcp]$ I5 w, }% F; l5 h
#發生阻擋時的寄信設定
% {( }- [: H) M4 J. v
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]4 u$ G( F3 K7 T( [$ ~0 R
Q1 X. Q+ A J' _, [6 ^) P/ G0 L1 ]
#需要掃描的記錄檔
9 _* i( U1 G! ?( d2 i
logpath = /var/log/secure2 g' p- f# _0 `( y! Y; h- Z! R6 Z3 A$ {
#最高嘗試錯誤次數6 {1 e$ H+ {0 Z) T
maxretry = 2
6 H( N% v5 U4 X8 i% i0 @$ U8 ]
#阻擋的時間，-1表示永久阻擋
# \+ _2 V# t- ?, Y0 S3 c
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {/ j7 r0 l1 Q' r
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
5 T% H& T8 Q' d1 I! ]" y
getpid
8 p# H: w7 ?+ C: t. W
if [ -z "$pid" ]; then
( @' Q R( A) `3 Z' o
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
0 s' d5 h/ k" o- ~- b7 g2 h8 B! H
$FAIL2BAN -x start > /dev/null
" k6 u, j) t: e6 d1 q1 L
RETVAL=$?
* U! U, _6 K* v) `( [+ G* x- ]4 y
fi! z1 @8 q$ d' S' l6 Z2 J+ h
if [ $RETVAL -eq 0 ]; then
+ g9 W/ M5 _# A. J5 v. z. e! I
touch /var/lock/subsys/fail2ban
- Y. y# a9 m8 Y" a+ b J7 y S
echo_success) u9 h) A, O+ |+ Y, n
/sbin/service iptables restart # reloads previously banned ip's
6 q! f4 |/ a* L! z
else
5 U! |! i" q8 [& p. V' Y
echo_failure
7 B. x0 [# t& v; T
fi( ]5 n7 ?# \2 s# e0 u
, w( P) T# Y4 ~& F: p
echo
! U1 |% ^. _! a! m, m7 p
return $RETVAL
% [1 H, f& k! c
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
4 \) q6 ]9 [4 m9 G6 E6 k3 |
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "! w3 _; j. w9 H$ Y. `* R
getpid' D) ]" @) ^$ M) }
RETVAL=$?
( u7 C4 P; e7 O% U- v B
if [ -n "$pid" ]; then, m2 h9 E/ o3 E, ^- D7 }2 Q
/sbin/service iptables save # saves banned ip's
- B9 b' B, F2 m
$FAIL2BAN stop > /dev/null" q( p- M+ x" [3 Z
sleep 1
6 s( y. f0 m( K# |) e$ q w
getpid- E1 G' d, R0 D! q9 h
if [ -z "$pid" ]; then
# _/ a% o% s+ l
rm -f /var/lock/subsys/fail2ban
5 m* r/ Y/ H% x& D# o' T& o2 A
echo_success
$ Q- p5 w0 p! ]) B8 v
else9 z+ [0 v1 M1 I1 }% i
echo_failure4 f- O! M4 R6 z( } H6 V+ R0 B
fi4 D* t. |- Q: i5 q
else5 ~# O2 L+ J6 Y) ~
echo_failure$ E7 s( L+ H- W) o1 I* n" X
fi
! I3 u! U% X8 C, p( R9 H/ n- W
echo
V/ J9 i" f/ ~, T! X" {
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊