防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

tid=34794& 本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
' L# @# O. d: h$ g% c" B$ b
#logtarget = SYSLOG7 K' r3 n# p9 C i2 b- P
#調整後的參數
) @. m( J0 @4 E# y; g" I8 F
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數% Q4 O9 M" `" R- m" Y3 L
#backend = auto ! u$ }; \9 N* n2 @: J3 `* @. K1 }* u F
#調整後的參數
' J8 H+ w: F. N1 E: A( O
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]0 i7 J$ b& E- u7 z }# B1 H
#是否啟用
T7 n! y& E. w& O, t- _9 c
enabled = true
' \8 Y; O+ m* Z% `5 C! O3 E) O' I! R
#過濾名稱，使用預設的即可
- U. h- `9 B9 O
filter = sshd3 x6 Z+ d' E' o' H: _5 r
#iptables設定- ?3 R) i' J1 x1 ]$ \# ~9 p( q8 B
action = iptables[name=SSH, port=22022, protocol=tcp]
3 l4 ~5 O" B5 \! q& \0 U" B' s4 \
#發生阻擋時的寄信設定
3 \0 R" n0 w2 h( I
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
: o& o8 T% u. \ M0 ^) `* m
" t$ _: H) l) t, S6 c+ W( w
#需要掃描的記錄檔
8 H/ r" e2 i3 q! K' l
logpath = /var/log/secure
+ D" @8 X! N ]8 A
#最高嘗試錯誤次數
a3 z! u. q2 a
maxretry = 28 S, L, f; ~& E- g A3 X% M
#阻擋的時間，-1表示永久阻擋
: w, i# V! K$ b) g. g9 o- F) h/ N
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {8 N( d% @% A' T# a! ]( T, m. L+ |
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
! W. f. D9 F5 Y! K) t( O) F
getpid' g* z* x) m' [6 W; F
if [ -z "$pid" ]; then
% [5 v. j( J% e4 F1 i. B
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
' V% V' V0 o' E% D2 X! y% Y
$FAIL2BAN -x start > /dev/null
7 [, K6 T/ M( W+ `* w! l
RETVAL=$?* m5 K. B0 a G1 P8 h+ t0 g1 `) T7 U
fi
/ p# F4 b) t3 o( O/ S
if [ $RETVAL -eq 0 ]; then
: b$ w0 ~: E q/ R8 g
touch /var/lock/subsys/fail2ban2 h, ]4 f+ J' I2 `
echo_success
% x! t3 `. C) D7 j9 z! o2 Q
/sbin/service iptables restart # reloads previously banned ip's6 L' U/ p) P- D+ i/ A
else0 S: E, j0 K! Q3 k# [* |
echo_failure h. k# \/ p' w0 J, t( D
fi& E8 m9 {8 F( [! V
+ V+ p5 }/ A5 }# J0 d1 l* N( s7 q5 @
echo
& \$ l. D- n' \5 S* g' W4 z
return $RETVAL
4 V) d& G- s8 M' r) T! D
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
. d+ o2 W# q- M; _( m; a" E
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "7 w3 E* _# K4 Y0 g* C! x
getpid1 }( y( Z) w+ u5 [
RETVAL=$?! |$ H5 U3 [5 r3 j) k" a, d: R1 d
if [ -n "$pid" ]; then
0 A, b4 e! l" c0 y
/sbin/service iptables save # saves banned ip's
: g! {0 K3 |" U2 o
$FAIL2BAN stop > /dev/null
L- a1 S# s0 q4 p. l4 V
sleep 1
# ~' e/ G J8 H7 z4 q5 \" i
getpid
5 z, p0 N- J6 b6 M4 Z" |) r
if [ -z "$pid" ]; then
, M; }" `( \4 K+ w% q
rm -f /var/lock/subsys/fail2ban, p% Z4 Y3 X. G; Y3 Q C
echo_success
+ p* \3 v3 W* l$ Y
else' L$ b+ K+ }5 Q8 u" a
echo_failure
1 ^! e4 P7 R# m
fi8 w1 n8 M( F8 T
else T: h7 G4 S6 o
echo_failure8 |7 |; W) A. m+ s* H2 @
fi
- H+ E* Y0 T; K' B* K: s& M7 D/ ^/ Z
echo( b: y0 [3 X' R
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊