防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

tid=34794& 本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
0 g E5 [& w2 d; C
#logtarget = SYSLOG
! {) B& E5 d2 p" N2 q( R( O) L# J
#調整後的參數8 A- s4 x j, }4 V
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
- K* J0 Z9 J, x! u- d/ H
#backend = auto ) W% M& o' D u: N, F5 D! ~
#調整後的參數; }. B m! `& p. X: {3 l7 ^' I+ d
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]5 L& }' f" G' z: x- R! U
#是否啟用+ U! y$ @4 @5 p8 `! W# T
enabled = true
( ]% ?: p8 O+ R' H
#過濾名稱，使用預設的即可
/ D4 O0 c! N9 a6 |4 @& Y" p
filter = sshd
' J( `/ r- {) l! H& I& F% m, l$ m, u
#iptables設定. f& Q5 R0 i7 i3 w% {% W2 I! i
action = iptables[name=SSH, port=22022, protocol=tcp]# P7 H- M0 A3 [6 p2 F" K s
#發生阻擋時的寄信設定
( u/ b: d2 W' ^/ h
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]
! U$ R3 S# j& T
2 ?7 B0 l: @! N: B9 M
#需要掃描的記錄檔
' A3 H8 Y/ f, D2 ^+ `% E7 V
logpath = /var/log/secure" v/ Q; F @: a* ?3 W. Z: I
#最高嘗試錯誤次數
) u% W1 U9 i2 T; s
maxretry = 2
) ^+ @& S5 q* Y
#阻擋的時間，-1表示永久阻擋3 p z$ N4 X: Z7 T! [3 \
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
+ O8 U, U, S$ c% ^- }
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "4 p" V/ y) j0 g6 q
getpid5 w5 h9 W/ U- U, t$ F* o; _
if [ -z "$pid" ]; then
, O4 T! a9 a; x
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
7 L" }1 c/ K1 f) i4 R% v* Z4 n
$FAIL2BAN -x start > /dev/null
+ V, w' [7 T9 }
RETVAL=$?+ g7 ?$ N; s6 Y% \8 u3 I
fi9 w* T3 P+ _" c0 R. n
if [ $RETVAL -eq 0 ]; then2 D- J3 p( w/ G# z( ^* D/ o
touch /var/lock/subsys/fail2ban" h0 Q- d L9 j8 B/ |
echo_success
1 y3 j0 {+ k& J& z! C- Q, S
/sbin/service iptables restart # reloads previously banned ip's3 I( a, h H* S" X
else
- C& b$ H+ N8 `, ^7 ?% } b- O
echo_failure3 ?/ o6 T ?0 c0 U6 J
fi
; I8 Y2 B0 i9 _- }+ f( X- U( F, Y
5 A5 w% X. C+ {4 B
echo
# S9 u [& T0 K- H
return $RETVAL
5 K% r, G+ o8 V' r& c) b. O: v
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
. e' o9 S2 }! i5 Z9 [' ], S" h
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
' G6 J0 Q4 X$ j( t/ E
getpid9 ?) r* F) D$ X( F1 ^: `
RETVAL=$?
0 V1 E1 m: ]2 C/ \
if [ -n "$pid" ]; then1 n$ T$ B+ T* z
/sbin/service iptables save # saves banned ip's: c7 M: y3 y# B( l& {
$FAIL2BAN stop > /dev/null
. X' P' ?7 y2 b- N: l8 o
sleep 1
$ D: c* G# k9 B' v' A' U
getpid
; u5 V/ i. V2 } b- S( u
if [ -z "$pid" ]; then( N, Z2 q" ^4 a2 w. J; @0 l
rm -f /var/lock/subsys/fail2ban5 v, O5 A; o1 q" M- @# S* Q
echo_success; L& O4 \3 t6 K( K4 i) ^. s4 u6 l
else- Z e* d5 n" ] f5 z! k
echo_failure
2 v6 l% r9 ^; }' g5 P
fi- e- _' G- R0 F- R+ y
else2 V% C1 u2 Q2 C( ?% J
echo_failure0 F7 [' W4 q3 n8 C4 m- g
fi$ W' l$ _, Z2 Y( t6 e$ W
echo, ]/ ^0 t Y* X' C7 L( W
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定