防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
+ u# I# ]- z4 A, v6 Q8 ^% ^
#logtarget = SYSLOG
3 y2 i: g9 j2 O
#調整後的參數# {; c5 V* l5 d F/ f
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數/ t: X' ?0 ]' u+ V7 j
#backend = auto 1 n2 B5 f: \, ^. s* g
#調整後的參數+ x3 ]7 H$ D0 F) d9 ?7 [5 H0 F4 k, n A
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
/ L' y2 z* @( l
#是否啟用
# g. I6 N/ b: Y
enabled = true
% Q$ _( H" T. y! P
#過濾名稱，使用預設的即可4 z% H: o$ ]0 J( c+ i
filter = sshd, t* j9 ]+ l, [
#iptables設定
* K5 ^9 k' \1 W
action = iptables[name=SSH, port=22022, protocol=tcp]4 H! U- _0 S- j$ l. w; l" w
#發生阻擋時的寄信設定
/ l# p1 [. r! Y0 D3 u" o5 y1 S3 f
sendmail-whois[name=SSH, [email protected], [email protected]]. }2 Q0 b6 h. D( }% w" A6 Z
D1 e q& E7 t, t. a8 \# J
#需要掃描的記錄檔
9 `9 Q1 b6 g2 u' ^
logpath = /var/log/secure: `8 z O8 {: ?
#最高嘗試錯誤次數- S2 I3 K. ^5 x6 `- f
maxretry = 2
; \. Z/ X9 ^/ A' M% |& w( O
#阻擋的時間，-1表示永久阻擋& \! y6 s9 [, @6 v/ t. ~/ }
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {3 k# ~( l3 N9 o
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "0 e- V# P. Y( ~2 v& W' `& X
getpid
3 U y9 ?- @) G8 ^8 T* Q8 U
if [ -z "$pid" ]; then
4 A; E/ {& @+ c: E; T: v9 R$ u$ l
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
/ x- l& |+ Z& H2 o! v* o8 d6 d
$FAIL2BAN -x start > /dev/null( u4 g" O* d+ G4 a+ m# k: ^
RETVAL=$?7 _6 C# I; |: L# G& I$ o4 W4 T
fi
1 w$ x1 J) L( W7 U7 v* m( r
if [ $RETVAL -eq 0 ]; then
1 b4 v& ?6 K; ^
touch /var/lock/subsys/fail2ban
5 k9 X" ~+ F4 n! Y
echo_success0 ]5 \+ C! A. V4 w( o: M
/sbin/service iptables restart # reloads previously banned ip's
; w" c x9 c0 M6 Q. \1 Y9 ]6 m9 ]
else
+ E8 b& [* {5 W) i
echo_failure
. b Q5 v7 |! h$ d* H4 Q* b
fi: q" @8 u. {& W- Y8 o
, Q+ Q) P: P9 ?5 n" I
echo
% }1 j7 u- i) w+ x4 R/ P! G& K
return $RETVAL( H% F+ `2 T5 K) P- j
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
6 E: Q- H/ d: E& e9 K$ d
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
9 _ |+ i6 b0 U+ O1 [" w' K* x1 }
getpid
1 |0 c# @$ d% M3 G) S4 q
RETVAL=$?5 E' m; d7 L/ X1 D. l
if [ -n "$pid" ]; then
E4 }5 [7 W- w
/sbin/service iptables save # saves banned ip's) X5 D; Y' \# j- ?+ [* X& p
$FAIL2BAN stop > /dev/null
' o! [+ \) Q' T, d' T
sleep 1
, n4 \2 e: G5 R* _/ s
getpid
1 I7 S: R4 f' F, w8 a9 \
if [ -z "$pid" ]; then' G0 u9 k5 s7 K9 V& g) D6 r
rm -f /var/lock/subsys/fail2ban! u7 V5 [! K8 m8 m( c7 f1 S
echo_success
, T, e; _ e- r9 ~) K9 a% N4 C
else
) m7 M+ U: X' C: R4 y7 c
echo_failure7 q4 o* ` a6 U$ p8 U+ N
fi' P6 G5 N3 o; y) @, T9 i; W
else
1 ?6 a; P. t/ n5 p+ y V
echo_failure' ` `2 k! F" v; ]. [
fi
+ S. j) F5 x8 w& p; m. g
echo
. Q$ }1 ^2 A1 o) {( y
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊