防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

tid=34794& 本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
/ T/ r+ s- G- H
#logtarget = SYSLOG
y' i c0 z0 U$ F: y5 A
#調整後的參數
; p9 N) o& z. r2 |& K' w
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數4 J- l; J8 K3 Z* ^+ K, | S
#backend = auto 3 E7 K2 ?8 S2 ?
#調整後的參數8 q4 {. y0 s( G6 W
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]( o: X) [' A9 y+ ~: x+ d
#是否啟用
. a- f& D% Y( d0 M
enabled = true4 V/ l7 n3 |5 n9 H. g% q& Q
#過濾名稱，使用預設的即可
8 J" ]% ]: h k" C" b9 ~6 }
filter = sshd
; c/ m q' U) N4 q: a. M
#iptables設定; j- p9 x! a5 a* L. @9 D" k# j
action = iptables[name=SSH, port=22022, protocol=tcp]
, J/ b* P9 u1 }7 W3 }
#發生阻擋時的寄信設定
) e( K W# K9 p0 w0 r& [6 j+ i, V
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
0 w' |, m! M9 P h
" y `* `9 e# T V
#需要掃描的記錄檔9 R% [& K: G6 l1 S( i1 O$ [0 u
logpath = /var/log/secure
" r: Y( }) h, A6 Y
#最高嘗試錯誤次數
# E: z1 ?0 _; w+ L+ S7 ~# H ?
maxretry = 2
( l) d5 y+ I8 H4 k$ @) T
#阻擋的時間，-1表示永久阻擋
. m( l/ e# V; L2 v: i, l G
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {4 }6 O" b- D" _
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
, Q7 u- \9 ^ P9 V3 M% f
getpid+ h% V% @! n8 h: e3 b$ u: i
if [ -z "$pid" ]; then0 _5 j g7 i' ?' X& _; @
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban$ A- j9 q4 A1 G) M5 F& v2 J
$FAIL2BAN -x start > /dev/null% ~6 G# g5 ^4 ]9 y% W5 `0 p
RETVAL=$?
4 J0 a# z( t) u7 P7 ~) T. X: j
fi( e% H3 R8 g# m. B% X
if [ $RETVAL -eq 0 ]; then# [% A& s/ Z- c/ V4 x' Z
touch /var/lock/subsys/fail2ban6 q& @. m5 E- K9 i- ~6 X
echo_success
1 X3 l' N0 R# ~5 {6 x* @2 V
/sbin/service iptables restart # reloads previously banned ip's
2 \ t# V9 u' i0 G, N
else
: P: f/ X3 O' j, }
echo_failure
- Q0 p* x9 X; ~" l
fi7 ~5 X6 q$ U/ n, [6 ^7 {: g" R
0 t9 t( |6 K# m m6 i' h
echo
. ^" }: G. b! F" N- e* a/ T4 g4 @( Q
return $RETVAL
$ u" C6 X$ D* S
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {% h! N# Z# k6 C z( Z0 Z8 ~5 p
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "! _9 s. n" z/ Q* g N+ K
getpid% Z( }8 _+ r" }7 U; f9 t6 o
RETVAL=$?9 ?7 O, {; B; c! B8 y8 ^; `4 Z7 V
if [ -n "$pid" ]; then
! Z7 ^3 J6 m# F
/sbin/service iptables save # saves banned ip's
/ S3 s& k4 j* Z6 Q% i- V
$FAIL2BAN stop > /dev/null
3 Y2 l, w& f( X5 y" r, g+ m ?
sleep 13 s4 ]- r4 P' I+ p6 E( x
getpid
7 a) Z D3 y& ?- J- B9 j
if [ -z "$pid" ]; then
* y1 M/ t+ u* S1 d# ?/ b
rm -f /var/lock/subsys/fail2ban& Y5 S! i& a6 `' u: n0 s: Z
echo_success
8 }; n- q2 ?4 Q- h
else, c: u4 B6 l& b6 G
echo_failure
7 I! |# @, i* W9 U4 m' b
fi
% v0 s- d+ L5 s& F/ F5 G
else
3 m7 o* o9 O* L, @( s+ ?
echo_failure9 G1 X3 M9 q8 T
fi% A5 `, X0 f0 ^+ ?- X" |% g8 P
echo
) U1 [ f& D% }# n
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊