防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數$ N' q6 G/ \6 D- O. h W
#logtarget = SYSLOG0 s; i. C# a; d* y$ A& V
#調整後的參數# F4 A: D; L; O
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
4 A Q' L/ x; ~/ p% q# r; q
#backend = auto % j8 t7 g% I+ S$ `) R1 h
#調整後的參數* { z K. {( U9 E
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]9 y- t' ~) f& w% Q
#是否啟用
0 ?; g3 X- k1 p; r- L
enabled = true
7 b% w1 l y1 Q( g+ A6 v
#過濾名稱，使用預設的即可
, h8 e2 E, N, }7 _& C k
filter = sshd
5 m: o+ h Q9 I) A m0 r8 T: h5 ~
#iptables設定
* c) H6 }2 T3 Q, ^! K
action = iptables[name=SSH, port=22022, protocol=tcp]/ F$ Z# H* }( X% l, c' u! @* h
#發生阻擋時的寄信設定
: t: r. w* W/ u: F1 r8 |
sendmail-whois[name=SSH, [email protected], [email protected]], O( K, ^& E2 [
2 f3 k, n) w0 v" v3 d1 y
#需要掃描的記錄檔
, i9 U- n/ e0 d) P
logpath = /var/log/secure
& s ?6 q, {: }# n4 y m
#最高嘗試錯誤次數+ P9 N2 ~- x- D6 V. R+ `
maxretry = 2
+ V% _ O+ m }4 F+ m: Z3 I
#阻擋的時間，-1表示永久阻擋% G* S( I& D4 w3 p2 `/ x2 `$ M
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
" R: P; B0 M- n" f( U! T, B
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
7 Y8 X" |8 ?4 C9 ~8 l( X
getpid
% x+ x4 A& ?- b# W8 j0 `/ p$ J
if [ -z "$pid" ]; then. v! n8 T# G5 o; `3 D! i9 R: b
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban: _8 n1 O' F& l1 \; v) |
$FAIL2BAN -x start > /dev/null! ~/ t/ V$ a- C6 d: Q. T
RETVAL=$?
8 }$ q6 a2 I V
fi" P) c7 }, \0 P+ }; Z) d
if [ $RETVAL -eq 0 ]; then8 D# n! Z' j9 F1 B: c
touch /var/lock/subsys/fail2ban3 x+ ^# I7 Q, J: {
echo_success
6 |7 [0 J b8 m3 S3 ]
/sbin/service iptables restart # reloads previously banned ip's% v; `5 T$ s. v8 Q1 l5 V
else
) z# L1 Y* L* U; \8 D+ W9 R; E- n5 w
echo_failure% [+ o9 H! B5 [7 f0 _
fi
' Z5 O7 p+ a- B" H6 l2 r# `' L* S+ h$ G
; V' t$ C; P7 \& c; F
echo
! w3 Y% ?& Y; S: z
return $RETVAL. i4 Q/ M. o6 x% r& E
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {. W; y/ U! m2 q# h8 X* _8 Z5 a
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
' }# c$ g8 c# \) o
getpid$ c; h4 T9 T0 n) u" a
RETVAL=$?
. r7 N& P2 X9 j
if [ -n "$pid" ]; then% c( }2 ~2 z. V" p T" N
/sbin/service iptables save # saves banned ip's: d( T0 g, ^, ?; w3 {* C
$FAIL2BAN stop > /dev/null
1 f. s3 V/ L: G% K
sleep 1
/ ?+ ?( Y8 k7 N$ `
getpid
- V( Y8 d1 Q- x7 J4 m4 f% ~9 j
if [ -z "$pid" ]; then
) q* z2 E+ n; j, r( Z% C( k
rm -f /var/lock/subsys/fail2ban
" y6 Q" e' v5 V5 F( ~/ d
echo_success& P* y% _: [( }7 u5 \3 ^) i
else
; |) J6 {) d! e8 I* m* X
echo_failure! g7 d: ]- ^( O" B6 t4 M- a
fi, r7 o9 }+ a6 Z! X5 D1 f
else
7 J: B9 D! B+ I/ _8 \! T
echo_failure# r5 u7 A, U9 I6 f# v; \; x
fi$ p; \ ?8 S# l$ g! k, `! i
echo7 U: ?4 E0 `, Y2 H
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊