防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數7 c% [, U; F% L5 Y
#logtarget = SYSLOG6 k1 {3 X) p1 M1 {, ^/ Z
#調整後的參數3 h2 X( H. I3 p2 U8 z
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數* [1 F9 C3 J- j- }
#backend = auto ( U% N+ V- G7 p( y+ n. X
#調整後的參數
8 m# @: V0 D- ]- w* r, U+ u' m
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]3 W6 ?4 O6 m! w/ u' I9 T6 Z. G
#是否啟用% ?/ `! \+ | j r9 E$ \7 R
enabled = true1 q4 t. R7 J8 ~2 J- B
#過濾名稱，使用預設的即可
8 i. c) k: ^ ~9 `. Z
filter = sshd9 e7 j) P9 C$ y5 w5 ?9 p- O
#iptables設定
# i6 q% S. I. ?7 o; B4 J( N9 W6 _
action = iptables[name=SSH, port=22022, protocol=tcp]7 J$ r- `: _) ]
#發生阻擋時的寄信設定
" e h. [) ^( F( _/ t+ w
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ c/ w& s, ]; K3 H) p3 F
& F/ s! C8 x0 Z. C! G$ X, u
#需要掃描的記錄檔
. ~/ S4 k& K8 ?9 d
logpath = /var/log/secure
1 I9 y0 \! Q" S' h
#最高嘗試錯誤次數) E9 A" M I2 N. \8 J" o Z. O
maxretry = 2
$ D# R4 N% L, p( D
#阻擋的時間，-1表示永久阻擋
3 H' P( w' w5 D9 ]+ w+ p
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
5 H- D3 a& P1 T6 _; ^( E* B
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
5 J+ ?- \' R$ O' k _( U! o
getpid$ P4 t' b' \7 I* T2 y4 L+ j( n* M
if [ -z "$pid" ]; then& C# _0 C0 Q4 S
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban$ a" ]; {) G8 n" U
$FAIL2BAN -x start > /dev/null. S5 \! t, s0 U5 I
RETVAL=$?& ?& Z) t( U/ S) e2 m
fi, U3 @, l2 L2 C- V$ y* L$ Y/ @
if [ $RETVAL -eq 0 ]; then/ t2 z( K1 `8 A S
touch /var/lock/subsys/fail2ban
# G0 d' \9 n" g( M% }0 f: V1 Y
echo_success' U( i$ z% g* L$ h! s5 k0 ^
/sbin/service iptables restart # reloads previously banned ip's
9 ]8 Z8 r. C, d) u1 G
else
0 n6 x, S+ ] K! D4 E5 h
echo_failure: r4 w3 `6 v8 O( L* @1 d$ C9 t9 ]
fi+ |/ J/ t1 [1 W, n3 h
/ K: u3 ^" ~; q) I! _% z7 B" W
echo
$ w- b5 m( c& s
return $RETVAL
. n- S, K8 g+ P$ J' }
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {9 R9 M. X6 {4 Z# \& T- h# h8 @; B
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
Y8 E3 K3 D8 j6 E. R2 G
getpid( z# k' k$ K1 X/ }
RETVAL=$?
" s1 `) S& m0 ~: Z
if [ -n "$pid" ]; then
1 x- K- f- g M8 }; J( |5 }
/sbin/service iptables save # saves banned ip's7 Q7 n. C+ H5 k
$FAIL2BAN stop > /dev/null
* S4 p9 g8 o$ \" }% z
sleep 1
1 ?9 f0 G7 h& A6 J3 f* H9 J" p
getpid5 B4 r: q6 T) S, m! P
if [ -z "$pid" ]; then# g; E& M5 ?- j+ k l$ J+ W+ g1 A
rm -f /var/lock/subsys/fail2ban
4 y2 `6 L! n: W3 o
echo_success& w& O* S# p |( d; s& ^& C
else4 D* Z, v* I' u! O5 I9 y- j
echo_failure
1 \2 k% @2 E. Z) T: X0 `! `( H
fi
; a7 b4 |* ]8 o
else' O" u* k# z: E8 U" L: P0 b
echo_failure' F$ o' ~6 B1 j+ Q
fi7 t7 `7 `0 F: L3 b
echo& Y+ f# _0 v0 c: l- d: ~- N' v$ G
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊