防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

tid=34794& 本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
1 r5 @. }7 L2 y& X) c
#logtarget = SYSLOG
5 Y; l+ l* r. k8 M' ^# O
#調整後的參數
; a% A( Q. W) O m7 p5 w
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
# l5 x, j! D8 w4 f8 X7 P5 `
#backend = auto ' N) X' a: f7 j6 U! U
#調整後的參數+ f" j# l! t: E r
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
% I0 G. v% h! p. G( {; p
#是否啟用
" B' c1 y& ?+ O8 Q0 i: y5 O
enabled = true! ?; I% _2 z: L7 ]$ n- S# q
#過濾名稱，使用預設的即可
2 Y& N$ }: x+ Z3 n* a+ t
filter = sshd
# w" T' f9 m, P$ }0 x% j, E
#iptables設定3 @4 E- N" |2 d% j+ b, n: ^
action = iptables[name=SSH, port=22022, protocol=tcp]: Z9 r- d- O0 C. G/ R. v1 A
#發生阻擋時的寄信設定
8 K. R& b @& {# C6 ~) b/ k) g' N
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]) X9 k' w4 z3 `0 }1 {* S1 V
$ Q( q- W7 [8 L6 Y* ], U
#需要掃描的記錄檔+ h [6 z: ~2 U
logpath = /var/log/secure
. O3 [% r9 N2 t& W, ~
#最高嘗試錯誤次數
% f+ |. U: |7 i/ |2 [8 o P* h
maxretry = 2
. P7 {8 {" D0 d& i0 s% `3 O M
#阻擋的時間，-1表示永久阻擋
- d8 w, ~& D" y
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
: ~0 z. x9 o; y5 e" M9 s: W. {
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "& x) ]& U' F. B
getpid
! {& J7 n+ p8 f9 o* Z) ^3 j
if [ -z "$pid" ]; then
( S' K7 y: O9 F# b. k5 l$ D' t
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
% P8 Y5 C; f: n. |) Y. n. n
$FAIL2BAN -x start > /dev/null e3 w5 C2 S( \# Q+ X& v% x
RETVAL=$?
3 p4 w& T7 T6 b4 H* d# R0 R
fi( X- ^, ?4 c- Y! Q. x# e
if [ $RETVAL -eq 0 ]; then
* c/ Q) m3 H) b6 w3 u& }
touch /var/lock/subsys/fail2ban+ x( V# f7 M* E: ^0 a& h
echo_success
! ^/ D% Z9 r, u, p5 e
/sbin/service iptables restart # reloads previously banned ip's
- n5 y: b$ F) @7 @: c) s" W& M
else( q f% i& \2 |
echo_failure7 M& M a5 r, L; x* m& g' \
fi' \& ~" A: P5 J2 v
, R: P. \8 S/ b! S& E! x$ T0 h
echo
9 D6 ^% S r2 W. D5 I5 v
return $RETVAL3 ^7 q, a1 M) _3 F; k* B* S
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
- y5 R+ F$ i* X* ^* a C% t
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
1 [4 i2 \9 q3 G9 V
getpid
" w0 {- F. ~$ L+ }
RETVAL=$?
* M/ D1 j4 U: m/ w7 k
if [ -n "$pid" ]; then7 q# M2 U8 Z# n+ Y, h6 `1 b
/sbin/service iptables save # saves banned ip's
; ~; g% ]4 E& H- [( a
$FAIL2BAN stop > /dev/null Q0 D7 y2 x W7 h2 m
sleep 15 ^; t& ^$ v* y+ Q! {; a
getpid
) z! O! r# h6 f9 g1 d) Y) e
if [ -z "$pid" ]; then
6 }: T% r9 B/ P6 w$ [
rm -f /var/lock/subsys/fail2ban
+ v; ~+ S( T {8 \$ y
echo_success0 w- W( {4 b4 n* A
else
8 e& U. ]% f' s! v$ P- K) F! j' D
echo_failure/ _ Z$ E9 z+ a7 w0 P
fi/ h6 b) z& m( p0 n2 P8 M# ?
else) V2 w' ~8 ]1 z4 l
echo_failure
/ u# T. b# ]' e( X d
fi
( q9 g$ v9 g% E1 E: x* X# ]
echo) ^' d+ b% J# ~' ?8 p* F
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定