防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數, z$ _3 g, P! a8 d8 G
#logtarget = SYSLOG0 L8 w. J- E; v- z) Y1 i
#調整後的參數/ v0 c/ ~/ Q: ~9 `
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
: T, R/ Q" l4 k" G
#backend = auto " q/ M# h' t. J% H. |% `" Q* E% g$ ^% X
#調整後的參數
8 z$ O" c% _8 m& \; D" E0 e
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]' F) z. P3 X8 e9 T5 w8 \+ ~8 V
#是否啟用- q* G% m, |0 v; `+ x0 [! k; l
enabled = true; z0 l$ T X9 l5 n5 q7 k1 U% P
#過濾名稱，使用預設的即可" d& s5 a- q+ ?' k8 Q7 d
filter = sshd+ g I i0 j/ x6 x$ r3 t
#iptables設定" n& c' N( ^# b
action = iptables[name=SSH, port=22022, protocol=tcp]
' ~% f r; o* U; e) s
#發生阻擋時的寄信設定) B+ J0 q7 h- B! N' } @& F) x `
sendmail-whois[name=SSH, [email protected], [email protected]]
+ h/ l& A" B- I* t; E* F
( \* n4 K1 A: s; B: F ]
#需要掃描的記錄檔/ b; t& V; U! P% a
logpath = /var/log/secure6 J) r7 t0 {6 Z7 T+ J! j; ^
#最高嘗試錯誤次數
# E$ C3 _2 Z4 P- v! _6 ]
maxretry = 2
9 e; L) j0 ^$ K4 a9 h7 d
#阻擋的時間，-1表示永久阻擋
; |& K2 @) Q; b0 ~6 D# L
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {8 u* e" A3 }6 |) r. A
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
' U( D- k) k+ h/ k: E5 w
getpid
3 x$ C; H9 J9 Y# F) r7 r
if [ -z "$pid" ]; then; B+ m. M! ^' l; _
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban t; r; v$ h! [/ E3 @7 o0 W. c
$FAIL2BAN -x start > /dev/null" {( H% D; n4 v8 g; }
RETVAL=$?4 C9 e5 f% ?" y; m+ v: V
fi4 V/ h/ a$ R* r+ C
if [ $RETVAL -eq 0 ]; then
: z6 Q, V% e) n" o
touch /var/lock/subsys/fail2ban
5 v# [9 E" ~, E3 I- J# q+ Q
echo_success
" b- N+ ]8 h6 Y5 U
/sbin/service iptables restart # reloads previously banned ip's. d4 e' s9 U8 ?; w2 A7 m, I
else( p1 j+ J3 t- W" g
echo_failure
& x% m" |! z7 i6 W( R
fi
' b# e" f4 M" P& D5 a4 W! @
* e* {, S) K$ c, y# h
echo D' O1 b3 H+ t% ?* Y' h# u) l
return $RETVAL
- ?3 i; |, q( A- \: y
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
% }+ a0 ^2 C: _$ I3 q
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
1 v; s- A- e. I! k; I' b: e/ ]% e
getpid
( ? i7 _) w' Z+ }6 s
RETVAL=$?5 `+ R5 \ v" w4 k3 U+ h& a% [
if [ -n "$pid" ]; then
; J3 g6 ?( N- l0 ^8 A6 l V
/sbin/service iptables save # saves banned ip's( t, A( u" H i/ J$ B7 C" I
$FAIL2BAN stop > /dev/null
1 z0 T* i. y' d
sleep 1
/ R2 v% I3 N' H2 ~
getpid
- }: I/ X u. t4 D
if [ -z "$pid" ]; then
+ [+ k* x" ^- F- l' h
rm -f /var/lock/subsys/fail2ban0 K8 [: y3 R: A# ~" s- f% N
echo_success
/ Q; a# c) b! {- T J1 j/ R$ l
else
* h7 {/ F9 y2 M) R2 v% J
echo_failure5 ?, @3 D& N C( K# O& `' m
fi$ B0 `6 ^% s0 Z/ A* d7 x
else7 \& @3 p( C6 a2 c' q1 C
echo_failure
6 o5 F) F* {9 X- c: {( _
fi9 s0 n: n2 T" {( C" g4 R
echo0 f* A9 e; L1 z7 [
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊