防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
4 z( z! _! ?+ M
#logtarget = SYSLOG
. ]1 d0 M9 P7 m* I `8 g" e
#調整後的參數
# u4 E. ^( ?3 a1 D' z \
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數/ n3 R L2 z: v4 B- K) v4 B3 g" T1 C9 [
#backend = auto
8 _3 P! b& t2 ^! \7 j. ]# K
#調整後的參數
# c8 O. M9 P/ E2 J4 E" l$ Q
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]. y% K0 I/ m, {8 s+ @8 K
#是否啟用
) [- r8 s3 w3 s. B* F: Y
enabled = true
3 s( V ^" B7 A5 x* \7 Y
#過濾名稱，使用預設的即可4 A) y( f7 V5 n* ?
filter = sshd) j) V" t2 W7 p. W
#iptables設定 y, a6 A% c* t. n( X b
action = iptables[name=SSH, port=22022, protocol=tcp]
9 [; y/ o( Q8 K& w
#發生阻擋時的寄信設定$ q) |/ l7 q" @* K0 O0 j
sendmail-whois[name=SSH, [email protected], [email protected]]; D7 l) a: n- V2 j: P3 y
% J) i9 O& X" S, {" j
#需要掃描的記錄檔
3 ]5 e( N3 C3 {- B' R! y6 z) |
logpath = /var/log/secure
{1 ]$ W- w6 _4 z' E7 t
#最高嘗試錯誤次數
4 U0 q: K( ~. Q5 [6 g, b# A2 V
maxretry = 2
9 b9 e$ K' h% w* Q( \
#阻擋的時間，-1表示永久阻擋
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
) l3 @6 v2 O# u
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
& B+ j1 P8 {' O W; d; g2 d$ s
getpid, J; h# z6 c7 p3 E' c; t6 B
if [ -z "$pid" ]; then
: Q$ Z) e7 q: ]3 Z1 W1 J4 I7 B
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban; O/ z/ i/ c% P+ D
$FAIL2BAN -x start > /dev/null& B* Z' |; T+ f! q% |' T
RETVAL=$?
7 S' Y& g: E9 m5 D' l2 Q
fi
3 t! X* X7 Y/ O% ^$ s
if [ $RETVAL -eq 0 ]; then
* c2 m* w! S; q/ D# ~; c% ?% e
touch /var/lock/subsys/fail2ban
& q4 \+ f- \7 |: K8 \, s' x! u
echo_success" `9 |7 P: r& ]# c* w7 x8 X
/sbin/service iptables restart # reloads previously banned ip's' @" v% x) n7 }
else i+ h& n! J7 Q$ f' d9 b# v
echo_failure
7 @% c: ?) ]' y# p
fi
/ e! \) l' ` d! _9 M( r
& ^, e1 S E) Q+ ]% r
echo# \) c: ]3 ^6 _& _8 \7 X% Z
return $RETVAL8 j6 D4 ?$ P6 ~
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
0 Y, `) s( y0 Z D
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "5 X8 u( A; [0 \) F4 Q1 u! W; k; C
getpid
0 P, g4 i' Y# @
RETVAL=$?8 n, i# U' R0 y0 s3 ] }
if [ -n "$pid" ]; then. u3 z* Y( A o$ L# E
/sbin/service iptables save # saves banned ip's2 K: `' D* ?" M( d
$FAIL2BAN stop > /dev/null
1 f; e* S. y! ]+ D5 F8 a% ?( x
sleep 1
t8 [6 S5 X1 a7 V! q; u6 \' Y
getpid8 p' j& ~9 ~. d5 a2 V
if [ -z "$pid" ]; then$ }2 B) K% m7 Y1 O) H( y4 \' y* R$ w
rm -f /var/lock/subsys/fail2ban+ i- C+ s& R) R: X+ J( ~, W! n
echo_success. G- g) ?! O( @, X9 n7 l |
else
r$ v* ?7 n1 }, r- V+ q9 g
echo_failure, m. z7 _/ l$ K( ]; g
fi6 S0 i' k: [. M* ?/ \
else
3 d( n* b# |, Y% ] V
echo_failure8 C: L* G: r( f) H
fi
- H9 x: b5 a( t* `1 X& ?, K
echo- m* C+ {9 Q5 k: Y
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定