防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
% _+ i! u0 c3 d0 k9 b
#logtarget = SYSLOG
2 |, _- |- A7 M' z ~& v
#調整後的參數" d( D# \& e; a9 {8 m& V; [0 k
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數# a; n% @" l" k. W+ W. E
#backend = auto
/ l, g7 s- G* p! V& v: K6 G: t
#調整後的參數
+ U- d. I6 ]5 y2 R
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]* C. N7 b2 `) p+ e( X
#是否啟用
& f( l6 }/ r0 a8 I! a6 g2 p
enabled = true
# G8 v6 {% G! |% O
#過濾名稱，使用預設的即可
: n# d4 Q; \5 O* z |
filter = sshd
: K( [: w/ E4 }5 [' q. E
#iptables設定/ B$ T: q C2 d8 ~: R- E0 A
action = iptables[name=SSH, port=22022, protocol=tcp]4 { P3 u+ q, j( J/ y
#發生阻擋時的寄信設定2 e. Q0 t* @) h" f7 J
sendmail-whois[name=SSH, [email protected], [email protected]]
_8 {0 O& i4 W1 N( }
& U# y' q$ X, G. ]2 G' w
#需要掃描的記錄檔
7 h! A' o0 |6 b% w# |7 ~
logpath = /var/log/secure
. d7 d! i3 V }( H$ @# j0 g' e
#最高嘗試錯誤次數2 Q u, R, q+ Z l9 z& o) T
maxretry = 2
: Y( N: g- b5 Q; M7 P
#阻擋的時間，-1表示永久阻擋3 a# e, W2 o( m3 Z
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {" G& F* d. O- |' H# F2 d0 l
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "3 ]4 E" L7 T8 ~+ J! z/ r
getpid
/ t' D$ n1 u- P: M
if [ -z "$pid" ]; then
, J! M. M. K( G- I8 ^
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
& y1 ^6 I- R. h; p$ e, ^
$FAIL2BAN -x start > /dev/null
/ p- Y B2 p$ F+ h
RETVAL=$?
9 E/ a1 s4 P) h' }! o6 _9 w# y" q) z
fi
# x0 v5 `% C0 X2 z- }
if [ $RETVAL -eq 0 ]; then
" Z( P0 N& ]: Z5 S2 e; H& `4 m9 i# x
touch /var/lock/subsys/fail2ban# w) j: S5 F3 \
echo_success# u$ I; u% O9 `" s. @
/sbin/service iptables restart # reloads previously banned ip's) E5 W+ L3 b: D2 r
else' n6 x | @, u [9 z, d, S
echo_failure) Y* ~4 x* N1 X. }+ A
fi$ a, X7 h+ q9 D: }+ W; w+ S
0 v( g* s* t& h* E0 X
echo
r1 u' l$ n6 z6 w( d
return $RETVAL
' y( t! Q$ x w( W+ ^7 s" r' }& x
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
. o I% i2 I1 ^6 z
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "8 H* o2 m9 \0 {
getpid
, B d6 A' S8 ^' ]: ^) u5 }: K& Y
RETVAL=$?+ t9 J0 Z1 [7 m' \
if [ -n "$pid" ]; then- a1 X! T. ] @1 A" n
/sbin/service iptables save # saves banned ip's
& a1 X; p1 G6 G2 ?9 V/ k
$FAIL2BAN stop > /dev/null9 q1 G% L# f2 g+ I2 J1 U2 r+ X3 |
sleep 1
, T2 w l* [0 j( B5 s% l: z
getpid
$ T3 i |2 Q" Y/ y3 X+ O
if [ -z "$pid" ]; then9 ~+ I" t' i( I
rm -f /var/lock/subsys/fail2ban
1 S# G. s+ B4 o* R9 q! o! t
echo_success
: U( k r/ \3 @% c% F5 B
else
, E: x. o: n+ f* D
echo_failure" O& }. [/ B8 e) d$ X( g
fi( u% y) W# T4 n. d
else* w4 ~2 w1 J9 n" F6 I
echo_failure
* a. E8 Q+ H- m
fi; W$ x- j, {) j
echo
" m+ m. ]" u" y( Y2 q/ J
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊