防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數( l e: E4 }; e
#logtarget = SYSLOG
$ Q0 [( x5 ~- ~- _& Q$ a
#調整後的參數+ Q4 W# a$ A \( M* I
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數6 ?" @! ~, c/ _3 \1 w3 B
#backend = auto / Z: s7 k6 g% y8 r
#調整後的參數
' e( X4 M7 } O
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]0 \1 A. @" n2 r+ T
#是否啟用/ I& m- W3 z3 ~
enabled = true) f( `, }" [3 g. j+ o. r
#過濾名稱，使用預設的即可- g0 N3 N( m! i
filter = sshd
' z4 o7 M& M) Y/ m) f2 j8 Z% m
#iptables設定/ U* `. p# I5 n0 b$ A
action = iptables[name=SSH, port=22022, protocol=tcp]( o$ c. v$ |; P2 H# F- p O
#發生阻擋時的寄信設定
9 q! y! W+ A! c6 ]3 N7 n
sendmail-whois[name=SSH, [email protected], [email protected]]
7 p, K4 J3 }( D" t5 A* h; `: H
#需要掃描的記錄檔2 y z) l/ Q% T9 p
logpath = /var/log/secure' G' j" V6 Q7 g. u) D' E Y/ \2 B
#最高嘗試錯誤次數5 @9 Y. h$ C" i- O, I P
maxretry = 2
; U7 g4 k; |& l! k6 T `
#阻擋的時間，-1表示永久阻擋$ N' ^" A" [2 X' \' S3 H4 m4 M6 M
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
8 \+ n) E% V: a7 V5 M8 J
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
9 |( [9 {) e& y/ [
getpid
3 w" D0 Y: [6 d! z- W5 A
if [ -z "$pid" ]; then
5 Y8 V9 p# o% |' Q9 A
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
$ Q# u9 U* h4 A
$FAIL2BAN -x start > /dev/null
% h+ I0 L- O, ^
RETVAL=$?
0 l8 k1 W `" G* j# X3 [) b5 W
fi
0 X3 M2 ]( K* C& E9 ]# r8 W8 j
if [ $RETVAL -eq 0 ]; then! \8 p R; M V- [ x) Q
touch /var/lock/subsys/fail2ban! N) t9 k( k( p6 v1 N2 J
echo_success
7 [* w+ K0 r/ c2 K) t% Q6 \
/sbin/service iptables restart # reloads previously banned ip's
% X8 I, k1 A/ n+ T Q- } T, z) s
else
( h1 I9 h$ v) b$ l! D& ~: G* F5 y, z0 B
echo_failure% D2 t3 b: X8 a4 k3 ~4 N- F$ _
fi
0 E, u+ V6 q& n I, h( u3 e( j
, O0 e- Y1 R, O* \0 \
echo
5 S+ B+ Y# X+ S! k# g
return $RETVAL$ V% h; i+ P1 n2 Y* S/ T7 G
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {2 I: U+ ^: i: o- p% r# \+ ~/ r& H
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
3 i% A* G# N# |6 W+ ?
getpid
) G% B( u( O7 c5 b0 P2 c6 u
RETVAL=$?
% N2 E1 h( z- Y" [" w8 @2 R. |
if [ -n "$pid" ]; then4 o4 @6 H, f2 l3 M; m5 n
/sbin/service iptables save # saves banned ip's) g# C Z- @1 G% u A
$FAIL2BAN stop > /dev/null
sleep 1
3 G+ B5 D# ~5 K. M1 I% q
getpid
0 Y4 ?0 ~. p# p
if [ -z "$pid" ]; then
5 U& O7 u: }! ~. z& v. X! \
rm -f /var/lock/subsys/fail2ban( a: Q6 V# d. e- a: \4 I) g
echo_success
9 q; @8 U$ O& w- @9 T
else& \3 O. q7 z! L
echo_failure
- |8 ?3 y4 R, |5 E& N% }+ X3 P) P2 X4 m
fi
: X# _7 M' [" g; g7 ]8 r) p
else
! X7 R" g) m" M" F0 x
echo_failure' W) X# _& l2 W* L+ A8 w
fi& e$ D4 q* p- G4 ]
echo& J# T$ n- t0 p
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊