防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
$ y* b5 B7 a" p& l9 L7 \' v
#logtarget = SYSLOG; }- S, L7 v1 M5 Y" ]% x! B S! H
#調整後的參數
9 w6 ^" Y) N5 O, B7 @
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數/ [; `. p( h) F
#backend = auto + O2 w* \/ ^7 e7 d
#調整後的參數# `5 M+ `: v1 v* I4 Q0 S! X
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
& h9 W {7 i) S; q! V; N
#是否啟用
/ Y- i, C7 |0 I4 r' j! p
enabled = true
e; [" j9 I) s; u# ]- q
#過濾名稱，使用預設的即可4 s5 O/ |) x) I; n2 [% \
filter = sshd
! F& J* v4 @7 s K5 n
#iptables設定
% [( F' ^" L4 P2 D) @
action = iptables[name=SSH, port=22022, protocol=tcp]' w7 u; h4 s1 P
#發生阻擋時的寄信設定5 ]* ?8 M8 w C/ f u8 |
sendmail-whois[name=SSH, [email protected], [email protected]]
' s# ~) _: [6 J5 K! Y4 R9 _5 O
# m2 ^/ y( k0 Q( |
#需要掃描的記錄檔
+ \" J: M4 v* }- @1 k
logpath = /var/log/secure0 h9 [- D+ V3 c$ C/ W) |
#最高嘗試錯誤次數
9 n4 K/ E- B6 a0 U+ R; E
maxretry = 26 t1 O2 O1 \9 M$ z5 _, U+ ^
#阻擋的時間，-1表示永久阻擋
' ?/ I& F- h2 y- a$ {3 B
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
( L$ W9 |# h0 C
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "5 Y8 f8 a+ V) E! r% J' ~+ e
getpid
E& X+ I$ y- F; ~4 |0 n( s
if [ -z "$pid" ]; then
1 V& _0 c$ u9 j
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban" f5 l& H2 }8 G8 P( J* i& Q
$FAIL2BAN -x start > /dev/null
; f0 N* T2 L# i% |
RETVAL=$?
% ~. g! A" p( B( ~ D' U, m
fi+ y4 T) ]8 s4 h: C3 M
if [ $RETVAL -eq 0 ]; then
3 l# l! g5 J: o. W& @+ P
touch /var/lock/subsys/fail2ban
9 Z( d3 Y; W$ O$ r
echo_success& A- P# _% ~1 b- y! I# [1 x1 \5 n
/sbin/service iptables restart # reloads previously banned ip's: ` w5 X5 L7 L# o- |% d* F
else
" `8 B9 s, h. i( R, P
echo_failure
9 X, a' v( Y0 _' g4 k! j$ {9 H
fi0 }" O3 w) V' g q/ e
5 m) q3 X: j6 M5 f' f
echo- Q# K* ]8 U6 g1 n% I$ H
return $RETVAL
& z" d, w% ]3 D
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
0 q2 s; w2 y2 m3 G: C% d
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: ", E- W* ?: ?1 R# q& T; A2 F' r
getpid- Z) j- @, J" ?# Y
RETVAL=$?: ?; {" |3 C1 n7 f, q$ r$ i# \
if [ -n "$pid" ]; then9 ], ^! }, q3 w5 ~( m
/sbin/service iptables save # saves banned ip's
5 E5 P' S( u; b# E$ r
$FAIL2BAN stop > /dev/null/ L( \0 p+ ^3 g" k9 p8 _
sleep 17 ?$ o J& U1 ~4 w( y
getpid! ^+ m1 m1 A$ Q$ W8 d
if [ -z "$pid" ]; then- ]) k8 B$ Z+ `8 R# e
rm -f /var/lock/subsys/fail2ban: s, I0 D' L2 a
echo_success
9 s. g) _/ O/ s; S y2 d, n
else
! L" @. z; p/ c( @8 P
echo_failure' f/ l0 k. E' I3 M6 M
fi2 B0 c: J: b0 _
else
; a) S8 b+ T5 y o% Z! k' @
echo_failure
" x" r; @4 g4 F+ N' G/ ~
fi
& t1 M. C i3 k7 d
echo
9 L2 E( c- g7 v+ J
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊