防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數$ a! ^7 S+ v4 x0 x0 e
#logtarget = SYSLOG3 A, m. Z: r' y. Y
#調整後的參數
1 F" _& M# L( H4 U& _9 v
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數3 R& V( \9 X9 [4 R
#backend = auto 0 t' D& v4 C# ?. {' N+ x# Z
#調整後的參數
d* v9 F* D5 H
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]- i" V2 s. X2 V3 c' l0 j+ [
#是否啟用
8 J1 b$ J' ]3 Q0 s- c# t0 J
enabled = true
, B7 g i' f; i. ^/ [% q1 v
#過濾名稱，使用預設的即可, n( f7 X: p& f
filter = sshd4 J' l4 ]2 R7 @2 L; c0 ?
#iptables設定
' \. ~8 I9 b. _6 Z
action = iptables[name=SSH, port=22022, protocol=tcp]
6 N8 v/ s# }, Y
#發生阻擋時的寄信設定
. G' |' a ]4 L- ~
sendmail-whois[name=SSH, [email protected], [email protected]]
7 P2 b# l. m/ \& D" ^
" A; R# C5 f- b6 k
#需要掃描的記錄檔( X% X& |9 T+ Q* ^
logpath = /var/log/secure# g) W j: T( }. p \6 J4 Z
#最高嘗試錯誤次數
2 n# d' e6 O/ V
maxretry = 2
9 T! \ ] P) F# f0 N9 m
#阻擋的時間，-1表示永久阻擋8 T+ m$ ^# `& b6 _9 h5 {7 X
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
4 [6 s# F" Z5 i# k& C. j: j: S
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
5 \! [$ U; F: ^1 F* g6 V
getpid1 W; d i Y( m: f7 t2 E3 L
if [ -z "$pid" ]; then
3 D% q6 b& `4 ~3 c$ I, X
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
: x, J( {2 D/ u# ~! N' J. b
$FAIL2BAN -x start > /dev/null
' X: Z. s6 c( s, ] Q8 R& s
RETVAL=$?. G+ S, ]7 g# c6 N5 [
fi
* h) Y( |4 [9 I" }4 e2 Q9 }1 @
if [ $RETVAL -eq 0 ]; then1 K' W# F4 _8 d! `4 r
touch /var/lock/subsys/fail2ban
+ a9 }# F; C9 ], s8 n
echo_success
8 ^5 T |9 h# ?# ]# ^$ f8 I
/sbin/service iptables restart # reloads previously banned ip's+ c! Z# n, s6 @) u% m
else- }: L8 }* u9 t! N+ D
echo_failure/ X; c6 l9 x- q* p0 k% [- T5 A. n8 u& a
fi
2 U% E6 o( ]( `
. P2 T, V2 t5 d/ W- v
echo% z! g1 Y$ i |% Z, x
return $RETVAL
1 L) m6 M0 C9 ^. @% A
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
2 w# M% G4 v7 b2 H2 p
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
1 E, H/ Q7 r( b. T
getpid. r( |0 G, O4 r+ M X
RETVAL=$?9 \" k# O/ U9 S, ~; u4 J2 B- Q* V2 D( T
if [ -n "$pid" ]; then/ S! ]6 c" [ t1 T; U6 f, {
/sbin/service iptables save # saves banned ip's* _7 J2 t8 L% @( q
$FAIL2BAN stop > /dev/null3 R; n/ {) i3 B$ O
sleep 1 N* y4 ~- _8 ~' O% e x* D. g
getpid& ]* p8 w7 R3 P
if [ -z "$pid" ]; then3 C6 E% [9 S. ]4 J5 X% ^, c/ D
rm -f /var/lock/subsys/fail2ban
- K5 u0 V" f0 q
echo_success
. J2 r9 \2 z! |- x. I
else- @, A8 |. }5 G% B
echo_failure( e3 ?* A1 m7 F+ A3 E
fi
1 {0 r8 [' C5 N3 y
else" S# V$ S( E& P$ u6 b
echo_failure* o. ]/ z9 A% v6 E) c- K
fi& I. x# o/ P2 l2 P
echo; [3 j$ A5 W0 T+ g' |" d5 l
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊