防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數0 R% i; C Z3 m5 d& t. V8 s
#logtarget = SYSLOG$ x* S6 q# j" T5 h7 R
#調整後的參數$ i% ^( e. o9 S( ~+ j
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
+ W7 t3 w; J R& A% T+ x8 t
#backend = auto
% G5 |& b( M+ |) Y- N2 \. \& ^/ J
#調整後的參數
, L$ W0 m. a3 `) p% E
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]! s5 V( `! H' X) p% z7 W
#是否啟用( t5 I/ q. m- \4 i/ Q2 A' l: j8 v
enabled = true1 |: |! L1 K" @/ C! ]6 V; `
#過濾名稱，使用預設的即可
4 ]" H. Q n; N! O" @& X
filter = sshd
6 u: S& D$ C/ G- q# O S t
#iptables設定
1 Q4 x' G2 l/ o" r3 W, o
action = iptables[name=SSH, port=22022, protocol=tcp]; {, [' z; K* K. t- o* B
#發生阻擋時的寄信設定
* D* J# h+ z! ?5 u
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]$ i ]2 R9 _0 q% y& Y; D
& v1 H5 _8 t* x5 m# [' J
#需要掃描的記錄檔# M# O* C3 r% Y6 a
logpath = /var/log/secure3 j A7 {5 \& `4 ]/ L
#最高嘗試錯誤次數
* p9 R$ ^$ C' i# t* c& v) R
maxretry = 2
$ e' Q, f$ B/ [2 \
#阻擋的時間，-1表示永久阻擋
! h0 P+ I5 {, ~1 w8 ]
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
2 n3 o, L ~! \6 g- u. A3 a4 i: D
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
9 l7 m4 F! T! Y; L
getpid
2 Z% d) m) k) a9 k2 ] `% ~
if [ -z "$pid" ]; then
# W* T% F6 h! m$ L* o) m5 v
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
' ^ A1 V: S8 o! ^% E& C
$FAIL2BAN -x start > /dev/null
6 s J, \. ]; t, L5 ?% `
RETVAL=$?
: _/ P9 l4 `7 A/ i! v
fi
9 y6 K# r5 J% \" o5 u) w
if [ $RETVAL -eq 0 ]; then$ K6 S- x6 x9 |
touch /var/lock/subsys/fail2ban
% f- s/ ]: p) I T
echo_success
6 H! d8 m* @+ c2 \9 j
/sbin/service iptables restart # reloads previously banned ip's1 n% M3 S* T8 z4 i$ G6 Z( m
else
7 L$ `8 C/ A' s1 h: ^/ Y
echo_failure6 D5 J4 Q9 ? J8 f
fi) y3 g; Z' W0 E9 y: k: b
$ M. V) q! q- L6 }0 T5 C2 n
echo
! W- F6 g' J% l L& R! m% y1 V2 x3 ~
return $RETVAL
1 ?( V7 o9 g4 Z1 n) C, }3 B
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
1 } Y6 i! W, K$ _( h
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "& c) m8 t3 U( t+ c4 L' n$ ?3 u* R& [
getpid
: L5 X0 }; C' w- D& W! [
RETVAL=$?% E/ [% x5 n! F+ ^* X
if [ -n "$pid" ]; then
8 |9 `! |. I: o/ P
/sbin/service iptables save # saves banned ip's+ c4 k9 p+ A. `, V
$FAIL2BAN stop > /dev/null
) i2 a, {) v2 }
sleep 1# r* ~( j( ?1 V( n+ q0 L
getpid% } h/ ` l7 C
if [ -z "$pid" ]; then
( {8 d# a" e9 V) J- m5 Q
rm -f /var/lock/subsys/fail2ban
3 P2 D8 _9 N" V' d
echo_success* t3 u( u% k1 T7 K' z3 n
else% \8 p$ [4 K8 O1 k. D0 W/ j0 [2 J1 ~
echo_failure
/ |$ w4 x* \" V. ^; K
fi4 b- b( R( W- u% i. M. l
else
# U3 a; F1 \" y$ m- x- ]$ A9 _
echo_failure
6 u7 [$ D6 L- k, |7 h! `
fi/ S$ B; l% r6 G: v0 k! [
echo2 ^3 b: P1 F) L; Y# m) K
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊