防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
+ @" q3 E5 g" _+ {* g
#logtarget = SYSLOG
7 E5 \3 x* c6 _* }2 x1 @ S
#調整後的參數
5 R. j# v# _8 x4 U% a$ l
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數9 H. D. P" s- i7 V8 N# `+ Z
#backend = auto 4 k( S7 z5 B. a& w
#調整後的參數
+ m4 P' e8 Z* m7 n. x
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]3 |/ ?& f& j& S, i9 C9 Y$ o
#是否啟用
3 _ s* t8 E4 T! }5 n
enabled = true
! R6 M8 I1 w. C3 r% | ^
#過濾名稱，使用預設的即可
& R9 J% c/ N' r
filter = sshd/ ^; ]6 ]6 B9 }# F4 x
#iptables設定: ? ?9 L5 c! P" o8 w" \3 t
action = iptables[name=SSH, port=22022, protocol=tcp]
) a5 R/ U# U& ]* c& o
#發生阻擋時的寄信設定
* d# x P/ ~5 A2 l1 h# |/ `
sendmail-whois[name=SSH, [email protected], [email protected]]
% U& o5 c' W& {
1 K' Z) ^8 d: f! o
#需要掃描的記錄檔
4 g: \' q& `6 R/ d: C
logpath = /var/log/secure" l! r: I" d0 R
#最高嘗試錯誤次數( s2 s- w/ f' w: X! g
maxretry = 2
2 N" n% y; K5 ]
#阻擋的時間，-1表示永久阻擋
! n8 w% F% v+ O3 ~& _
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {* b) A( L8 ^0 u' i" }2 p
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
' T) R8 u( H: W) A; Q+ v; H
getpid
6 f, R9 S0 X0 u; X) x' y# ^5 [- z% z; W
if [ -z "$pid" ]; then. g9 e/ `# K# a( U) s
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
& j) u T# ?3 z- q
$FAIL2BAN -x start > /dev/null( M& ^. A; ]* V$ [) n3 t6 o2 ^3 t" w' Y
RETVAL=$?& ]8 A' s" |# ?+ J: u* q
fi S' E5 l! q- n+ V/ K7 y# `
if [ $RETVAL -eq 0 ]; then
, I4 I: u; _- P, h& \& c
touch /var/lock/subsys/fail2ban
4 V( L7 ~( P- s/ P
echo_success0 k7 D9 N" f/ G+ Z& I( A
/sbin/service iptables restart # reloads previously banned ip's9 [) n! D; p# h0 T0 L( l* H
else/ S$ k5 R! c9 _4 a$ _6 M
echo_failure4 X; W7 s: K: E' d2 `0 W6 a
fi
9 B/ F% |, ?' e$ X
9 c! b" G2 L) s; U* e: {( P- N
echo+ _0 N t7 N8 }
return $RETVAL
% x1 r, R7 n; q; Z
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
2 ~+ N7 @) F) u& P1 ? t" H
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
" c, Y( E& e+ s. a y) y
getpid
% f$ S7 n4 A$ d2 O" \) T y! H
RETVAL=$?
- n& ?8 E$ T! T; k5 i
if [ -n "$pid" ]; then( S" g6 Y. s( T* n6 O% u
/sbin/service iptables save # saves banned ip's
9 Z, u e6 T% g/ U N
$FAIL2BAN stop > /dev/null
& B4 w/ I# Q4 x$ U" `+ y2 ]
sleep 11 T9 l: s) V1 c+ Q: M
getpid% A0 V% i* U& \- E4 Y' j6 |
if [ -z "$pid" ]; then
3 m0 a. |3 M0 ]$ k+ G% y
rm -f /var/lock/subsys/fail2ban
9 |( R: L" N* N: `1 n
echo_success
* F4 @3 y2 C, s
else$ ~( P) V; l0 b' V/ }% D" B
echo_failure1 V% T- n/ u; h/ V6 F
fi0 c7 B9 e x( D7 f/ o0 w( D
else: x5 Q" q$ v3 q+ J) f
echo_failure* z9 s+ p5 L- f! X! `* H5 M! S
fi
) g5 ~$ d2 o1 v( T" S
echo, m4 e# d" V' i" Q% u
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊