防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
1 f7 y+ L+ S+ W( C% _
#logtarget = SYSLOG
" @! `, z! v) \2 u v8 v% H/ |6 |% b
#調整後的參數$ j; D4 Y4 h% M q
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
+ g& N J- I$ A0 _* a
#backend = auto ( \% ^( a0 a0 r( J/ z
#調整後的參數$ F: M, |9 g# @, t; s' e3 f
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
' f; a3 Y8 s5 _9 D/ Y V
#是否啟用$ S! u4 |! [$ Q2 H- g+ C6 ^7 b
enabled = true
3 x/ g7 g. v1 [+ U" v# a
#過濾名稱，使用預設的即可1 S: _, D2 c6 N8 F$ S4 p
filter = sshd
' }, b6 h! E" f: x+ ~+ @; M
#iptables設定
$ u. b6 u4 L! C2 z X
action = iptables[name=SSH, port=22022, protocol=tcp]+ i7 a% L+ x1 u- o1 U
#發生阻擋時的寄信設定
3 \$ |/ H' H' X
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]7 z; S8 x( R. B; `' Y5 X
' `" L6 V- y3 o1 x; O
#需要掃描的記錄檔 I4 i: B5 d; @
logpath = /var/log/secure
) A& @) r* p5 u2 L! H- G
#最高嘗試錯誤次數
! m% _; T* A6 E2 B; i) ^; y
maxretry = 2
9 ?' }' c$ \ u e1 d: _
#阻擋的時間，-1表示永久阻擋
) c) }5 g! k6 e; ^7 ]; l1 D
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {) B1 t- x9 K( P3 J! t9 K" N) ^8 J3 Q
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "2 t5 `+ t$ R9 f1 b9 g* A u ?
getpid
1 O6 q1 ~( M' X# W1 ]
if [ -z "$pid" ]; then" ~$ V) c# H( ?- e! Y
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
( d+ H" R. I: b& [
$FAIL2BAN -x start > /dev/null8 g9 h4 y8 q& f$ Q7 n' V; B
RETVAL=$?
' j* E6 e0 [: F) x" T, u
fi6 y: ^0 J( x3 X; x1 g8 h+ d! l
if [ $RETVAL -eq 0 ]; then
& K# b: g5 r% ^; H2 w- R" K
touch /var/lock/subsys/fail2ban
5 i" l6 w0 V/ z) @: P* S- a3 L& R( U2 `
echo_success7 ?8 J$ j+ y4 Z( K: o; g! o D( ?& Q* G
/sbin/service iptables restart # reloads previously banned ip's
) C) x( @% v4 \# L' o3 V( `. b! m% y
else( L8 w& D# v8 R& L
echo_failure
% n! t5 `! o' w' j6 N2 I
fi1 g, R3 `' d- J4 O: W, p. @3 w) c0 ^ }
6 t! E" k9 h6 x" p
echo
1 m9 S6 ]& {5 ], U
return $RETVAL: f# I% U; t1 W; Q( s U
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
; S N# T' t5 `$ F( A) M) C9 ~
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
; W1 v# l( M% Q- w
getpid J* m+ f1 e- @" j6 c0 j
RETVAL=$?# U+ G; ]- k; p' p
if [ -n "$pid" ]; then! Q& A0 y" ~, F$ q6 R& J
/sbin/service iptables save # saves banned ip's: t+ r& @ A, k) t1 E8 _ m
$FAIL2BAN stop > /dev/null4 K% f; N1 x. g& v1 m" y2 k' ~
sleep 10 c" K, I/ H( z) U7 J0 c
getpid" a7 B$ K, Z3 m, m* v. `+ ?" ^" E
if [ -z "$pid" ]; then" u& Q8 f) r! m8 O
rm -f /var/lock/subsys/fail2ban
$ H8 y9 l$ ~* @- D ?9 ^' `
echo_success# ?# O1 _9 H w
else. h$ Q- P" B" J- o0 @# c* h
echo_failure
0 j2 A8 e o% }5 y
fi
, e0 d$ ~ p) F3 K
else/ M3 W: b9 f- c% p7 |
echo_failure
- g6 x3 t: d9 Q% O9 |+ t
fi1 t& L, E6 u0 p* @
echo: z) k9 k0 ]& o0 m/ W$ ]; P
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊