防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
0 o1 V( }; q3 z/ C7 C# f
#logtarget = SYSLOG
2 k" T( Y) S% I1 E# |% W
#調整後的參數
8 e$ Z* R# m5 n( z, I
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
; V, X$ ]! N3 I9 K$ e" l4 N$ z% ]
#backend = auto 6 b* W1 n- K2 L: F6 p1 z B
#調整後的參數
# ~9 ~+ T: `! {9 a% E
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
. O! ?* |. Z' q1 c5 k# _9 o; C
#是否啟用# Q. T! y* K9 q- l
enabled = true1 L: }! b8 [ g" [
#過濾名稱，使用預設的即可
8 ]* E: k5 [9 h( X( {! T: h6 s& t
filter = sshd
l- ?4 t# N! k/ y1 \( q& |9 o
#iptables設定
, ~, J; I. o5 ^/ V G& G
action = iptables[name=SSH, port=22022, protocol=tcp]
9 V/ l) d! x) A0 S9 S
#發生阻擋時的寄信設定/ i$ }: Z" m4 c$ ^
sendmail-whois[name=SSH, [email protected], [email protected]]7 ?) S, t- d& I/ U
2 Y9 [5 [- K5 K
#需要掃描的記錄檔: ^& v; N" u. A7 v
logpath = /var/log/secure4 g1 m/ Q' M6 p6 i0 d t2 l
#最高嘗試錯誤次數
/ h W: T; T& y' ^- o
maxretry = 2
/ q: j* V% k, k9 {, b8 z! t) i
#阻擋的時間，-1表示永久阻擋$ m( g3 Y# r( {- d# q
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {% N: y2 }1 F8 f: l! k5 S% K8 [
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: ", B$ V r$ G* j9 u2 c3 I
getpid8 x- K4 T7 d- _- F7 U
if [ -z "$pid" ]; then# g7 v* a, v8 Y3 ^& h( T" }6 l
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban4 [4 ]: M! h6 e' m& Q+ V
$FAIL2BAN -x start > /dev/null
; e/ h0 F: [4 v6 z; S* ^
RETVAL=$?$ S8 g" ^% y4 K4 v, M0 S
fi9 ~) H6 M" L7 K1 t; H
if [ $RETVAL -eq 0 ]; then
# f, i* ^2 K% n, O; r' c
touch /var/lock/subsys/fail2ban
3 x) a; J1 @7 c
echo_success# ]5 M3 H3 U p D
/sbin/service iptables restart # reloads previously banned ip's
* H6 W, G3 g3 Q9 B7 h5 C
else
: N* B& U! t; e1 }
echo_failure2 t9 T6 Y$ ^8 b5 n
fi# q6 V/ B6 j) Q) {
' Y1 s- h% M1 S, b$ O) K
echo. t G F5 N3 D" L h: }1 l
return $RETVAL* g9 M5 _2 S4 @
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {) v" |! u k' W7 H _
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "7 c ~* c5 V7 p& \' }# L c
getpid
# Z( Y4 l& Y( A
RETVAL=$?* T& K7 V& B5 Q9 x
if [ -n "$pid" ]; then3 m8 @7 W3 n, O
/sbin/service iptables save # saves banned ip's
! g# F; i# |& o5 C8 y( \
$FAIL2BAN stop > /dev/null: u" k7 A% l$ I8 y0 L
sleep 1
( B' g3 r& ^2 t. c
getpid
7 l8 s: u5 R1 A( [
if [ -z "$pid" ]; then
' [/ Y! |# Y& Q6 r9 o b0 u
rm -f /var/lock/subsys/fail2ban" I7 m- t" m0 p: V7 a9 n' Y! W
echo_success& b) q( {. C' G9 ?7 b
else# @ @' Q* F) [( G$ A$ M* G
echo_failure
: C5 B0 p+ A, d3 ~: \/ T
fi
- @! H: ~% u$ w/ d
else1 @, f$ x# X2 l- a' e" \4 r
echo_failure
0 o" k7 a( X6 V- M& S$ c
fi
; Q. x! [2 m% d
echo5 G2 {! `# g+ C
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定