防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
% Z; n1 i" X" o9 a
#logtarget = SYSLOG
* ?7 L: u) @2 ^; y' V- P
#調整後的參數
. Q, D T- {2 J( K ^2 P
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數% K1 H5 }; j$ M: m9 N( Z% k
#backend = auto
# {9 n1 ^8 u5 j2 M- D; c# l
#調整後的參數! O, y0 @, f& U1 M+ q+ F0 k
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
& d {1 J# V r$ \5 Q8 ~& ^7 Z6 x
#是否啟用
7 N2 O; y4 R& M2 w# L: z, s
enabled = true
1 v: K/ I/ t/ |
#過濾名稱，使用預設的即可
3 _+ _8 ~) _$ K9 Z% L8 z: u" `! D
filter = sshd- {: Y% W% ]! y* b9 m2 V1 d/ s: y
#iptables設定
" Q8 u3 A& c3 v0 I) ~2 @4 z9 Q
action = iptables[name=SSH, port=22022, protocol=tcp]
7 d$ ^' C% w7 R) y& U- b
#發生阻擋時的寄信設定; f& t- _) E1 l3 n
sendmail-whois[name=SSH, [email protected], [email protected]]
$ v2 L- |. p3 }) s% c
: l/ q3 I4 O* H$ u
#需要掃描的記錄檔/ a, J* t- Y% }- j8 W
logpath = /var/log/secure
k% D/ r: O8 l- D4 a
#最高嘗試錯誤次數
& P) P8 t9 Z, H7 Y6 r3 T
maxretry = 25 S2 |2 Q1 J h1 J
#阻擋的時間，-1表示永久阻擋
0 M6 A. `# Y: S1 }* I) k
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {5 W, z- E/ O4 Y, c8 I. h
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
3 Z& U/ H- `6 E' A
getpid0 q0 ~* C" [; T" B* o; N% g# ?# Z5 t$ M
if [ -z "$pid" ]; then
+ g! J2 `) u5 C6 o; G9 o/ J2 z
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban0 y8 g0 _, M) v8 t, b
$FAIL2BAN -x start > /dev/null! n/ Q1 A' ]) w) z- K
RETVAL=$?
& U; ]9 q) `& [9 ]0 F
fi9 P3 L9 n0 h2 k0 q9 I. X; m2 @0 V& d
if [ $RETVAL -eq 0 ]; then+ w' w6 n* C$ k( M! L1 B8 y+ G3 }
touch /var/lock/subsys/fail2ban' j8 H- o) _1 z6 m8 W- J9 d0 F9 r
echo_success- r s! i5 O' o: M8 Y4 j1 e2 p. F
/sbin/service iptables restart # reloads previously banned ip's
4 X5 g8 M* K2 W3 l: Q
else% e, ] n( K5 ~
echo_failure
6 ^! z! n5 I+ L: y) H
fi2 }+ {9 O) j- @ P; x5 H
4 G9 c' T$ S* H! X$ J0 m" `
echo
1 ~! K) v& Z1 \8 C3 a5 W
return $RETVAL
2 [1 L9 `) }, L! w* h
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {/ i' g+ b, L0 b# D3 w6 I
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
& ?+ d/ Q8 ]; g: Y! `
getpid A1 V$ f9 N# _+ x! m, @1 e6 A8 c* |
RETVAL=$?
$ `+ Z, {& x5 J) E1 O; k4 o
if [ -n "$pid" ]; then
! r8 ] ]- [( V; P4 Z' o
/sbin/service iptables save # saves banned ip's
8 e2 a9 q7 M3 _ _+ A1 `# p
$FAIL2BAN stop > /dev/null# O6 w& G$ W4 z7 L
sleep 1
D8 y* ^; R9 m$ ?9 x; R
getpid( [, x. `; H8 [" o
if [ -z "$pid" ]; then/ i: @4 S! }( }8 o5 H& D
rm -f /var/lock/subsys/fail2ban
5 x$ }% L a6 w+ }4 L
echo_success
" ^$ m- ^* o) x3 k
else: v+ e/ G J7 q
echo_failure& C: p! y! k: c3 s# d3 h# I v
fi
# Z3 v. L" ?& {
else& @8 s: x: _3 O- y
echo_failure0 A/ F2 ]+ x% m- S0 X5 T
fi
( D4 P: [! y5 g& S& t
echo; h( k/ L4 O" t* W
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊