防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

tid=34794& 本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
* r1 Z. B0 Z; i: Y& F
#logtarget = SYSLOG
+ Y5 [ Z5 h1 J2 e* [
#調整後的參數# e9 t$ }( t* K8 [$ z
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數3 J9 ?1 x0 }+ P% B
#backend = auto
8 \' ]5 n- R- d6 g1 X4 H3 g* q
#調整後的參數
/ i1 S. o* J. N' V. S
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]# r8 r* f& m# W- G
#是否啟用5 d$ M% l$ j x# q# w
enabled = true: Q$ Z1 a- E0 z. T( S; H$ X
#過濾名稱，使用預設的即可) [' }4 {/ v+ C" y1 }
filter = sshd
@. U' X" @- e3 d9 V9 Y% U, M& @
#iptables設定
# p7 c1 W6 x( ?2 L
action = iptables[name=SSH, port=22022, protocol=tcp]7 w- v9 Q+ }1 x4 T
#發生阻擋時的寄信設定
+ }# f2 I4 Q8 Y/ X
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com] t8 e+ v: u% p2 E* b' Q
5 V) R/ u8 Q# h: i$ |* d
#需要掃描的記錄檔
. Q/ `( q. h! r" f" L& ?
logpath = /var/log/secure
: a, F# U& y& u
#最高嘗試錯誤次數$ _4 @* e4 s# N& `- h
maxretry = 21 _5 U. }8 X5 j U/ y2 G6 y) ~" `
#阻擋的時間，-1表示永久阻擋: l5 @; G- n* L" S
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {/ R N, @- ]: s; J6 j+ X
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
0 i' h& ?( g+ m0 \
getpid
0 @% ?7 i0 F+ N) a- ?
if [ -z "$pid" ]; then& P; P' B6 |& ~. _( F' X
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
! S" p( j" v5 C( e
$FAIL2BAN -x start > /dev/null( J' H m) g3 \
RETVAL=$?
* h: i4 j2 K# n* G4 I- D$ j" Q
fi
& O* ]" R/ o2 r! t8 P
if [ $RETVAL -eq 0 ]; then0 B, P1 j7 M; V H" n, g
touch /var/lock/subsys/fail2ban
& m" X( b- U2 ^$ ` x
echo_success! z; B5 z( N& ^& }
/sbin/service iptables restart # reloads previously banned ip's
) L8 q }9 b; Y% T; f" }
else1 [: h, F& S& [$ m P
echo_failure! v9 X5 I' s' o/ G, l! q8 x5 x4 o
fi
% R# _' @! [, e
0 j6 ^! Y+ J5 [, J- t
echo
2 T/ _1 q/ S- b) v R \
return $RETVAL( A. G0 b$ g1 b) S }: M( w$ ]/ O
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {, \) h( U% l. M
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: " U$ t) }) c) J: C$ Q: R
getpid' U3 R( E6 E* W# O6 q% \
RETVAL=$?
; U. F% K( p' f3 ^$ B
if [ -n "$pid" ]; then6 w4 h: l7 J( y+ H- ?3 e: m* ~
/sbin/service iptables save # saves banned ip's
! x6 D" c9 t' j$ @" W! s
$FAIL2BAN stop > /dev/null
4 L( N, P- Y K0 m! f$ d/ M% {
sleep 1& @0 H- C# x0 ?7 b" G
getpid: ~% R( Q3 B+ }3 X
if [ -z "$pid" ]; then6 m& k1 N* [) g' y
rm -f /var/lock/subsys/fail2ban( T' i: T' F; C
echo_success6 o* n7 n- I/ k3 E' |5 e. k" l
else
4 V6 ]. G4 k; b. O
echo_failure5 z4 z$ n/ l3 p Y
fi
8 A1 G, Z& Y% D+ | @5 q, _
else
# N5 P- T5 |# s' P$ F2 ~ ~ [
echo_failure* g; Q8 m4 t$ Q3 p
fi
) r* M& `' }3 Z/ R
echo
3 G6 A( N& o- o. p9 C
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊