防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
6 g/ Q. d7 b( L0 s
#logtarget = SYSLOG K. w3 z: t8 ]! J# v3 b; {
#調整後的參數) D/ t% T" {5 y9 G& X% @4 F
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
2 A& _; V3 ~4 b, j
#backend = auto
: j* o4 g9 ~, W
#調整後的參數
% v# b- o' U$ G {
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
2 O% o* n- e% A- }# @/ v
#是否啟用
4 S; F) v/ u. C' m* f$ C; I5 H
enabled = true
0 G# l* K3 z/ P6 X
#過濾名稱，使用預設的即可( Y2 l0 w" N) T- r
filter = sshd+ c8 k; [) F0 p% D) d2 I: t
#iptables設定. k8 N0 n/ g: i0 a) F* ~
action = iptables[name=SSH, port=22022, protocol=tcp]6 n8 a. X9 F4 ?( P& [2 h/ X; I
#發生阻擋時的寄信設定
2 i) f& K4 D) M2 k
sendmail-whois[name=SSH, [email protected], [email protected]]
' C5 S9 I7 g7 Q
: c" O7 L$ G; \, {& N/ T
#需要掃描的記錄檔
7 R, _; T# @+ ]/ _* F
logpath = /var/log/secure* ?0 N9 i( ~* B( |2 Y
#最高嘗試錯誤次數, I6 U% s. t: m) J
maxretry = 2
; h, \3 j2 i- Y
#阻擋的時間，-1表示永久阻擋# \+ C3 I: e0 M
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
) F7 o( v, U& L2 f
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "7 T: k7 ^9 G' j( @
getpid
, ?1 h' B& `, U
if [ -z "$pid" ]; then; c" X8 d$ s! Y1 R, D& s9 [; L9 T
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
0 t( v* |1 b. C% k& k) `
$FAIL2BAN -x start > /dev/null
, p; i4 L, d: u" L$ y C
RETVAL=$?" U+ Y& b! y/ @3 x6 a" j& D ~4 e
fi
( W1 w5 O, s3 A" f' T
if [ $RETVAL -eq 0 ]; then# i# l& m" F- G! ^6 `4 ]
touch /var/lock/subsys/fail2ban
6 b" g/ [3 p2 f
echo_success, {1 p9 y8 q( v4 d, N4 Q- z5 w! ?
/sbin/service iptables restart # reloads previously banned ip's
: e4 a& b- r% ^4 r4 t; K
else
: ^, O& S: ^8 ]* Q$ b( u- V {
echo_failure$ {0 [% W" J( p$ j. f/ ^
fi$ _5 C. I. _& U0 }( i. s
! B3 G6 S& X5 K5 A; y
echo
1 a, z8 R7 m1 A, x; d$ u8 m
return $RETVAL) N( V* F% ]- R6 L
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
7 e( E4 k5 Y, ~6 g, u8 {
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "4 v0 x; _. W( |+ r
getpid) g$ r# U2 E$ P4 j7 }" R8 I6 i
RETVAL=$?
: y$ S+ X! g" W, a5 F; |. f
if [ -n "$pid" ]; then
H5 p# C" f0 x* N8 T
/sbin/service iptables save # saves banned ip's: k1 u' H- P- [8 { ?$ X9 n5 x" U
$FAIL2BAN stop > /dev/null) _) \3 D- h8 |9 l) R
sleep 1
- H4 K2 A- S+ f2 ]! H: t+ w' j
getpid2 q2 W$ Y& w- V/ r
if [ -z "$pid" ]; then
" [. x8 o6 ~ l& X
rm -f /var/lock/subsys/fail2ban
# t, D' s. I: S" v5 Q( @
echo_success% ]9 V1 R! I0 R5 o# X1 c
else
# K9 |5 M3 a* U7 i1 k& E9 V
echo_failure
# z4 H K0 H% w5 R) A
fi
" `! G; L4 ~+ `1 ?: q
else w& I3 [/ a3 ]- B3 A
echo_failure
; S3 A$ F) [9 w) S
fi
/ V" `; s1 C/ q, L7 Y4 Y8 m
echo0 G# {, d' q1 T! C
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定