防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
7 h) h/ ?/ u: D9 N' h5 {
#logtarget = SYSLOG
$ | D, e+ u& m' o: L
#調整後的參數& L4 s2 v; @. f; D. E' M/ @% l& {
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數0 O$ |3 C, o% ?
#backend = auto 7 q4 {) X' c! N2 h
#調整後的參數1 d4 y: }% G) W2 `; p2 P6 O4 \# d
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
# _( g% J0 P: f3 `, z
#是否啟用
7 C U/ S/ M) _3 o4 |* S; C
enabled = true
/ D! v/ |/ A5 s& F" x
#過濾名稱，使用預設的即可9 g) Q4 F/ i$ a+ E2 ^; V( f9 q
filter = sshd2 H- @+ D! j6 G( o
#iptables設定" O5 K$ [5 X1 b% P* {4 E f6 A
action = iptables[name=SSH, port=22022, protocol=tcp]* h) t! T! |6 W4 P, N4 Z! w4 m |
#發生阻擋時的寄信設定9 Z/ w9 n% V0 }4 A
sendmail-whois[name=SSH, [email protected], [email protected]]
3 S9 K' T. I& i
- B. ~3 ^% e4 C# P" G4 P
#需要掃描的記錄檔; D5 i- r3 F3 b9 H
logpath = /var/log/secure
% C& B+ n* s6 E7 Y! U" p* Y
#最高嘗試錯誤次數3 w4 x1 ~! H Q8 @
maxretry = 20 h+ b0 [; u. Q# i
#阻擋的時間，-1表示永久阻擋
5 e2 W8 [# ?( L& |
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
: k8 v6 w9 M' U
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
# [' x# a, J6 h1 e. W9 W' O! H
getpid
+ F+ v& l# c3 _/ c( l! o
if [ -z "$pid" ]; then
# ] z: b2 v& y* Z" u8 o$ ~4 _
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
- @% s* e" G4 A, O6 E+ p0 i
$FAIL2BAN -x start > /dev/null
% i8 N/ ?; m f7 p; Z9 b* P
RETVAL=$?# T6 G$ \/ q- w- p; I
fi
0 x% H1 m. L( p
if [ $RETVAL -eq 0 ]; then: o) j1 `8 J8 Y$ p# B, v5 b& c
touch /var/lock/subsys/fail2ban
$ ?3 i( f- i& m( K Q
echo_success; {# @6 R! \. W5 A8 n
/sbin/service iptables restart # reloads previously banned ip's: t2 @# d4 i+ s0 Q2 R+ ^: Z8 Z1 ?6 j
else
1 z# t' b5 O) h B/ G: L2 r
echo_failure
: C( `/ N0 H$ F* C, [% c
fi0 p3 j; C( S$ C. ~0 N0 @
+ {% _% ]) t0 G+ @6 p" X
echo
; [4 b- |% G$ j
return $RETVAL7 z. b& _' y* ~2 ^6 M8 i
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {# {) Q) C% f8 V6 i# W" J6 f
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "- g6 b/ W. Y0 P' u0 ^$ h) b
getpid/ d w" w. s: h0 T
RETVAL=$?8 C3 I* z2 u1 D4 M! Q
if [ -n "$pid" ]; then
6 M/ K) `% p! c& b: f6 }% `% B& D
/sbin/service iptables save # saves banned ip's
5 ~- K! [8 K- R" U2 {/ ~, n9 `
$FAIL2BAN stop > /dev/null. A3 h- k8 |) U0 N$ ]
sleep 1
3 ]: A J) j* @& S
getpid
0 H: N: H, a. E+ V( [
if [ -z "$pid" ]; then0 F1 T4 E7 ?$ Q0 w/ _/ ~) C
rm -f /var/lock/subsys/fail2ban7 b6 C) u- ^# q8 Y) a7 Z
echo_success0 `5 ^) O# d5 ^5 N. C
else# m; y# B; A- _) f1 J4 U
echo_failure
( m$ m2 k5 G* I8 }; U o
fi& n! F; m9 I- z# k! o
else- q* g; j( n, e5 O
echo_failure. d5 q6 P) d! I
fi# k* h2 U: v0 ^# S( Y1 g; b& t/ ?
echo
& X4 k+ k0 Y+ Z/ f0 j
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊