52AV手機A片王|52AV.ONE

 找回密碼
 立即註冊
快捷導航
  • 我愛av論壇BBS
  • 手機A片
  • 自拍偷拍外流區
  • 貼圖區
  • 52av裸聊室
  • 中文-中國主播
Yahoo!奇摩搜尋
熱搜: av4u論壇
Google搜尋
熱搜: av4u論壇
     
查看: 4194|回復: 0

[防火牆] 防火牆強化套件fail2ban之安裝與設定

[複製鏈接]
發表於 2016-4-9 12:53:54 | 顯示全部樓層 |閱讀模式
本帖最後由 IT_man 於 2016-4-9 22:36 編輯 ' E* d5 ~) _8 h( M) _& Y

+ Y: M( g/ |6 w* j/ }6 B" v5 @! W9 ?' I我的環境:
! ~1 U9 @9 w4 l( A' r. gCentOS 6.7    這是RedHat系列的發行版本,與Fedora同系。(發行版本的資料會記錄在 /etc/redhat-release)4 m9 l- p6 U. a
1.用yum安裝fail2ban
- E) F  I0 R  @0 K: H# ]0 \- Zyum -y install fail2ban   (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件,可以回頭查詢這個記錄檔。)' Z& U9 [$ G+ C3 l& q

8 K1 H5 S. o; e如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候,你需要進入這個步驟。- q! b, S. [: u9 B$ S4 {
9 ~) b/ C$ ?( L
yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中,所以我們必須手動加入含有fail2ban的套件庫atrpms。  R$ {% A: P6 D! j
. _) G& p  \& n7 w
請編輯 /etc/yum.repos.d/CentOS-Base.repo :% r' ?+ S% e1 I: n

- v8 n( u) \8 V' U5 w! X5 cvi /etc/yum.repos.d/CentOS-Base.repo7 Y7 K5 b9 ^. ^) i( {9 X
在最後加入以下設定:% ?5 a% _2 K9 p4 g& _6 w, I, `1 ]6 o

. ]4 p5 Z. e$ J1 y[atrpms]! }, X- i0 t. K: k! m. t3 v
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms6 _9 ?  y) y1 P9 T' ~2 C
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable& \0 S4 D9 c% f/ W! y1 P( x" V
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
  ?+ u% \3 \: h0 }6 Ngpgcheck=1( v% \+ U+ [, O+ n' j
enabled=1/ v7 M2 {& J6 \( N/ x, ^. p* {

* e5 I  K- V8 o. O. F) N2. 設定fail2ban
% y8 O: p% H. p2 i主要有兩個設定檔:/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf5 l; }) l9 S) k0 X) T# p
vi /etc/fail2ban/fail2ban.conf9 a0 ]# r0 A; D
修改 logtarget 的參數:: H( `6 C" i# [: ?/ O# e
  1. #預設的參數
    5 V4 g8 ^2 Y2 y3 j
  2. #logtarget = SYSLOG
    3 w& d" m: y1 @( c; _4 [
  3. #調整後的參數" u) ^6 l, H; s
  4. logtarget = /var/log/fail2ban.log
複製代碼
vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)* Y) {+ G1 U4 s* W6 ]
  1. #預設的參數3 J) W7 X  R* i* m% V# G
  2. #backend = auto
    ; K5 |5 f9 a4 v  h( I( f( C
  3. #調整後的參數
    " S) W2 e) _* g8 v
  4. backend = gamin
複製代碼
gamin是Linux的套件之一。如果缺少你可以用yum來安裝它- F! q( ^. f, ~4 L: S, @0 w( L
  1. [ssh-iptables]
    4 h6 q* {: h  j1 s! w% a" g
  2. #是否啟用% S3 w3 C& W' @; x+ G; S
  3. enabled  = true: O8 d* Z: L* h* H6 S' C
  4. #過濾名稱,使用預設的即可
    . F' E8 i  y7 Q
  5. filter   = sshd
      D+ e1 J5 \- b
  6. #iptables設定/ D  `7 p2 D7 I. _2 L7 s( |
  7. action   = iptables[name=SSH, port=22022, protocol=tcp]
    - B* O1 G* u+ C
  8.            #發生阻擋時的寄信設定
    . B" ?7 ~! A# h$ g0 b  R: m1 Z
  9.            sendmail-whois[name=SSH, [email protected], [email protected]]( Z7 t- {7 q. A% `0 I! _/ O

  10. - D6 d* k7 O! p+ i, O" ^2 I3 E* P
  11. #需要掃描的記錄檔) }% O- \' ^3 A! X" T2 z
  12. logpath  = /var/log/secure; N7 c' b) u# P2 [; T
  13. #最高嘗試錯誤次數
    5 B6 j' u# R. U, X% c5 H
  14. maxretry = 2; E* m# I  e- P0 F+ ~; v
  15. #阻擋的時間,-1表示永久阻擋
    ) N" Y: x; D2 [5 B" ]
  16. bantime  = -1
複製代碼
讓fail2ban重新啟動時不會重設阻擋IP規則
  K* t9 V" {' V$ f1 X在預設的設定中,fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說,如果我的電腦因為登入失敗被fail2ban擋掉,那麼只要fail2ban重新啟動,那麼我的電腦又可以繼續嘗試登入server。; P1 a+ A5 a" Y6 C) J
如果要讓fail2ban重新啟動時,不會重設阻擋的IP規則,則修改 /etc/init.d/fail2ban 的內容。! Y0 Z4 U0 B& O1 G1 R
vi /etc/init.d/fail2ban
2 q% q4 W2 L; J% g找到start()的區塊,加入以下有#註解的設定:
5 v6 @) Q+ q. `! D; M" `! m
  1. start() {
    . A- }$ o: S* K) s" |0 Z1 F% e
  2.     echo -n [        DISCUZ_CODE_3        ]quot;Starting fail2ban: "
    1 _; H6 u  x% w! e$ l  Y) S
  3.     getpid4 W: f2 Y8 u1 A: T, E! Z
  4.     if [ -z "$pid" ]; then8 r+ Y/ w) Z) o$ Y' Y* V
  5.         rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban( }9 h& L! W) X; {# A
  6.         $FAIL2BAN -x start > /dev/null
    8 H. Z/ S# X+ D2 |3 ~
  7.         RETVAL=$?% j1 y$ m+ e' t$ D
  8.     fi" [1 I  ~8 a9 ~" D- U
  9.     if [ $RETVAL -eq 0 ]; then
    - z# }1 w0 o. y2 ^# h
  10.         touch /var/lock/subsys/fail2ban
    " O# t1 K9 z% Q8 b% P& t$ `
  11.         echo_success; c2 O4 Q, s! u& N. f+ z, o
  12.         /sbin/service iptables restart # reloads previously banned ip's4 H4 d5 D2 b8 {; {+ {  {
  13.     else
    3 j0 W5 Z$ ^5 v8 H. a  C9 h
  14.         echo_failure. w/ `( Y; ^0 ^2 w
  15.     fi
    7 W$ S6 v2 u) {9 V
  16. 6 U8 ^0 O( B+ d2 P4 d' G" U
  17.     echo
    1 W0 j( y; g( F' U
  18.     return $RETVAL8 h1 R% s) u& c  ~- w* Q2 ?- {
  19. }
複製代碼
再找到stop()區塊,加入以下
有#註解的設定:
- y  P0 ~' _. t5 v% S
  1. stop() {
    ( ~  f: d& `9 ~) o- ^  O/ E
  2.     echo -n [        DISCUZ_CODE_4        ]quot;Stopping fail2ban: "
    % U& ~! O* j3 M
  3.     getpid. Q% k$ w' M$ }3 S9 }1 t, C
  4.     RETVAL=$?+ V' ~7 I. }2 \7 i- r: u
  5.     if [ -n "$pid" ]; then) Z7 |! K' b7 D4 b% Y8 r- [; ?
  6.        /sbin/service iptables save # saves banned ip's4 |; D2 X# |, O* L$ `# |
  7.         $FAIL2BAN stop > /dev/null- d/ e1 \- R4 J# d5 J: e
  8.     sleep 1
    - a" n5 i# l8 a, _
  9.     getpid
    5 J8 u/ [; {6 Y# @
  10.     if [ -z "$pid" ]; then' i$ H; t! U% o
  11.         rm -f /var/lock/subsys/fail2ban- u+ ]8 y4 e" r
  12.         echo_success; {2 f2 N5 u& O* p5 ?1 z' Y
  13.     else& w, e2 U2 Y) |
  14.         echo_failure
    0 b; [$ f1 {; P& l
  15.     fi0 h) N: ]) D# e- H' B
  16.     else* K8 E6 s6 B, U8 n
  17.         echo_failure1 g' w8 K" m5 k. k
  18.     fi
    ( M, b4 ?/ W# J- H6 i8 a, ^  O
  19.     echo
    : f% z6 n2 ~: |$ w
  20.     return $RETVAL
複製代碼
3. 設定fail2ban開機順序0 j% z+ U) g. I% ~! e

; p' S. V; s, \) I3 f* ychkconfig --add fail2ban/ ~) U: ?7 P2 g
+ O2 J0 y/ D9 c

2 J3 x/ x4 e) j% F( |9 Ep.s % Z( I* j8 v9 c
以上參考 :
0 K; ^! S5 r' P  ]) O; W7 \http://blog.pulipuli.info/2011/07/centosfail2ban.html  
7 B: p: D; p" {http://www.vixual.net/blog/archives/252
- i1 z4 z6 o+ l$ w- Y
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

本區塊內容依據『電腦網路內容分級處理辦法』為限制級網站,限定年滿18歲以上或達當地國家法定年齡人士方可進入,且願接受本站各項條款,未滿18歲 謝絕進入瀏覽。為防範未滿18歲之未成年網友瀏覽網路上限制級內容的圖文資訊,建議您可進行網路內容分級組織ICRA分級服務的安裝與設定。 (為還給愛護 本站的網友一個純淨的論壇環境,本站設有管理員)

QQ|小黑屋|手機板|52AV手機A片王

GMT+8, 2026-7-5 18:08 , Processed in 0.007740 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

連絡站長.廣告招商

[email protected] | Telegram:@asa00061     since 2015-01

快速回復 返回頂部 返回列表