防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
3 ^: u' {0 h$ {" }9 f
#logtarget = SYSLOG. u& B1 T- V1 J0 z/ V/ B
#調整後的參數. a" f0 Y) `0 l: ~9 F% w! `
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數7 q$ s8 L/ j; @+ \& B
#backend = auto : M9 A1 J1 X1 D% V
#調整後的參數" ~& ~9 m) ]* l0 X
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
! T K4 X; |5 ~6 w+ P* ?
#是否啟用3 ?+ q1 x; }+ I7 P- K
enabled = true' w9 o, m7 Z* s4 Y0 E/ ^/ ]5 C
#過濾名稱，使用預設的即可
3 k' c$ M4 V! r# N# s* Y
filter = sshd
8 M$ e, G* I" D3 w, n4 w
#iptables設定$ @3 C% i' D J! z, E
action = iptables[name=SSH, port=22022, protocol=tcp] `. F% ~/ e" v, A B+ R/ K5 Z
#發生阻擋時的寄信設定
3 P" M% O2 g' ~0 C
sendmail-whois[name=SSH, [email protected], [email protected]]
2 Y! @2 d" Z7 _5 ^5 a
( ^6 C1 y: c% M& r6 n, S& P' C
#需要掃描的記錄檔
7 T& U/ M6 @* |- K
logpath = /var/log/secure
. z2 z/ O4 f7 A6 v* P
#最高嘗試錯誤次數7 G; s J& R2 L8 L2 U4 L# l3 |
maxretry = 2& U+ H" g& e7 u2 j+ z
#阻擋的時間，-1表示永久阻擋
8 H( @% X: K; M$ R5 S1 K
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {$ w+ e7 u9 Q9 _" c
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
5 K1 Z; L7 r( m
getpid9 b* T% H4 E ]2 W' h; j* Y
if [ -z "$pid" ]; then
+ ]$ T. X& i4 e: T% z
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
* m$ F5 Z1 m1 J( i
$FAIL2BAN -x start > /dev/null
- _: ]" G, n" T" u) G6 M D
RETVAL=$?) v( D" m$ u3 d6 L! ~
fi" B5 u8 r! d4 [, W
if [ $RETVAL -eq 0 ]; then
$ P! D* B3 \7 e! i( m4 o
touch /var/lock/subsys/fail2ban
2 x! W5 n Z- d% d: e
echo_success
# U2 D, z% F- `7 l* d8 ?
/sbin/service iptables restart # reloads previously banned ip's
3 F( l0 a) b l- x
else
4 B" @3 `8 s$ N' x1 p
echo_failure$ K+ Y) j n1 o
fi i* I3 P7 D9 {# ]
; {4 x6 O4 o8 L. V! A
echo+ h7 v! q' O+ u: a3 C8 R# b
return $RETVAL0 T% G% y) ~5 i# _+ }
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
8 I; p0 H# ~, a' s7 G" x: U+ p
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
7 C% T2 v; J- I4 h3 B4 U1 L/ |
getpid
* O- g L8 m* c- t. x
RETVAL=$?. |. b# i. y6 E) G
if [ -n "$pid" ]; then6 J2 I6 q: Z. i2 v3 g0 N& y
/sbin/service iptables save # saves banned ip's" T0 K9 L) f, _3 X; P, E7 R
$FAIL2BAN stop > /dev/null: k) _5 G5 y+ Y' B& q
sleep 1
5 c6 [5 ^+ a! K4 L, w
getpid6 ?! K S7 q3 G- }) z
if [ -z "$pid" ]; then
0 l: D& O2 j7 ]% B' E7 `+ s! D* c o
rm -f /var/lock/subsys/fail2ban
1 \" W8 z# }# y0 K3 c
echo_success5 L( a3 B* J# y
else: e' A; s6 h3 S J& ?4 F" }
echo_failure( I) E5 g# Y8 B' R; D, g( C
fi/ T, Q4 Q, Y# p: P- y: r
else
# ?2 ~ M" h! s) I$ D7 P
echo_failure( g- n8 H; m {3 _( f7 Z
fi
* j- u8 _$ U$ H ~ }8 q; G# o
echo6 n; ~* ~, w9 N& }/ K
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊