防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
# |) L& F) M7 z% H" ~2 V4 n
#logtarget = SYSLOG# Z$ c7 F# d6 L: j! C9 N( W
#調整後的參數/ X% t' Y+ b$ c; k4 a2 h" i
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
# `- h) U6 f, |* a! v4 s
#backend = auto
8 K% {- c( Q$ e3 b( ]
#調整後的參數
D$ M6 m" I. j# _
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
; n v) h- w! x. R) l6 ?: N
#是否啟用
3 l7 Q- b. e& y$ o5 T' S4 s2 V
enabled = true
' e3 v, D) |7 @
#過濾名稱，使用預設的即可5 |8 f" U# B3 m1 ^' V
filter = sshd5 d; V; v! }) ?' y1 j7 B+ `
#iptables設定9 K4 C. Q# j5 P& U
action = iptables[name=SSH, port=22022, protocol=tcp]* _1 M; Q! m6 E8 Q* k E, q% c4 q' B
#發生阻擋時的寄信設定& x2 s7 h. E m5 w
sendmail-whois[name=SSH, [email protected], [email protected]]
2 R5 l8 k w3 Q# K& d/ c8 t0 ?2 T
: [+ B( w" u/ u: ^3 d1 r
#需要掃描的記錄檔6 z) x# ?8 g8 k6 ]. }2 j
logpath = /var/log/secure
- e2 u* x: ~0 O+ K* [2 ~
#最高嘗試錯誤次數
+ e* a) f( N6 D: d9 l
maxretry = 2
! _6 w4 o9 U8 |" G! y& z2 i
#阻擋的時間，-1表示永久阻擋' C, ?- P: d7 e& H! g
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
* ?' n* v2 W% Q" V H2 A
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
1 y# ?! A" {, @" ^
getpid
8 k" ^. n4 M; x" h+ f- G
if [ -z "$pid" ]; then6 t5 w3 Q4 B! G& E9 H5 v& _
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban$ D; o0 q' Q4 T& _7 x7 H( H
$FAIL2BAN -x start > /dev/null
/ P9 N4 Y5 O3 z) U0 C
RETVAL=$?
8 ~1 E0 M/ p0 ~4 L* h9 B7 l
fi
! W* j+ p1 h! ? K; w* [/ {: w7 h
if [ $RETVAL -eq 0 ]; then. S' H7 R% F; Y2 n: y
touch /var/lock/subsys/fail2ban- f7 q1 g$ C8 p# Y) P
echo_success
- B p4 H! E# H# V/ U+ i0 }
/sbin/service iptables restart # reloads previously banned ip's
" Y- T. c( p* T
else4 t3 O+ n+ N* U" T! O, l
echo_failure" ~0 P' f% _8 [7 _5 \2 H9 s
fi! h& h1 M+ ]' K1 I3 M: V: E; j
4 D; i: f4 e. C
echo4 I. i/ z( l t( h
return $RETVAL% M* E8 p0 D* x; N( N1 K+ y
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {, M' B, o& h+ o& B2 |. d
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
% M) z- o8 c3 F1 K& k" P3 u; u
getpid
% a' o; p( d; n5 q/ Z
RETVAL=$?6 e# z/ H1 `5 G* }& w% q9 ]
if [ -n "$pid" ]; then1 J, b, m8 T- w4 J: @
/sbin/service iptables save # saves banned ip's
7 I% r; P) o3 y$ ]6 A
$FAIL2BAN stop > /dev/null
; d- x+ o! B6 S6 k: t7 S3 [
sleep 1
0 |4 _% d% G" j7 ^# W( u$ i
getpid7 `& b/ j; u- q" {* w7 n
if [ -z "$pid" ]; then7 u, F k! P! M
rm -f /var/lock/subsys/fail2ban
6 }( m* [) g/ N. B# Q( y8 G& g6 r
echo_success
" ~" H" y5 I% l l/ a; x$ B
else; u' ?9 b( q1 N
echo_failure6 D1 e) H/ G* a9 \) C2 O
fi
. N2 Z1 R" O5 q/ x5 w5 i
else
. B- D6 `$ Z3 l& A# w
echo_failure0 Z- e0 g$ B" t) d; d- {7 s
fi0 x* f" Q2 Q1 J7 N7 w( b
echo
+ E3 d; _) Z2 y0 Z, G/ X! l
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定