防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
0 g: o' ~9 L! E" {! E, e
#logtarget = SYSLOG
' X" }; ?! [( }+ R1 u# r2 T
#調整後的參數" L, B$ Z2 @ |
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
% g* g8 k& [9 F
#backend = auto 4 N2 Z9 Y A0 d% S$ ]; M
#調整後的參數
& m* v& i. C! Z8 D; }5 r6 P
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]3 y& { I) t$ n8 O
#是否啟用) s, `! \9 `- J; y
enabled = true+ V% _8 J6 B" z7 _- p$ d+ a
#過濾名稱，使用預設的即可* g7 Y2 ]7 e: k
filter = sshd
( n6 ~0 Y+ ^* R! a/ h+ ]
#iptables設定
: F" p0 B% h6 P1 r0 z- \+ f
action = iptables[name=SSH, port=22022, protocol=tcp]
5 m% _, q+ |2 Y
#發生阻擋時的寄信設定; I6 F3 ]) r0 |- y
sendmail-whois[name=SSH, [email protected], [email protected]]% e3 x* D4 g$ D, d6 S7 s; g# W
: [$ G5 e9 ~, Y N* p1 [! q2 n
#需要掃描的記錄檔
' q2 {" q( x: h
logpath = /var/log/secure
; C; j- f3 H* i j0 C& I6 f4 W
#最高嘗試錯誤次數
: [& A) g" j9 d7 n; x7 g. f3 X I
maxretry = 2
+ X$ T/ d# M8 a9 g# U. U
#阻擋的時間，-1表示永久阻擋
; I, I! M# |8 y
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
( m+ X7 Y4 A4 [2 O" P4 I
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
4 ~0 J* U) H, F/ F
getpid
if [ -z "$pid" ]; then" k8 t% ?5 [- U+ Y& k
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban- ]6 U- E. q5 l$ L M2 m: X
$FAIL2BAN -x start > /dev/null
4 P, d; d) U% D- g+ P
RETVAL=$?$ f9 b4 B. O4 r& @- e
fi/ O n1 I; _6 e: o6 A( l1 H
if [ $RETVAL -eq 0 ]; then! F9 Q" G* |* x$ O0 ^; q7 H
touch /var/lock/subsys/fail2ban/ I# G. ]9 I* c. G( i
echo_success
$ D+ g# e; K0 F; A
/sbin/service iptables restart # reloads previously banned ip's
4 {1 E5 Y* A7 W: F7 e: _+ U# u- {' j
else& u7 x/ w, r% Y6 g% s2 ]
echo_failure# N: z6 g8 f9 F5 w- X! W' J
fi& |$ m8 l$ C) [) [5 ^# \( N# ~
: u7 m& m9 c1 Q: w& A
echo
w6 J8 S6 B- M$ \/ _1 `& f+ h
return $RETVAL( S; o) o" E* w* t2 }( L
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
5 O. W- l* P, ^* ~( j6 O
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "# V4 g3 c/ m4 ]" J! O
getpid) \+ L" N. V9 A# ~: V9 x
RETVAL=$?
' F1 l$ P: E6 r% j8 E- M1 x( X
if [ -n "$pid" ]; then
. ^* E( c$ X7 @# i, V: {; z
/sbin/service iptables save # saves banned ip's
& K g& B8 Y# b- B
$FAIL2BAN stop > /dev/null
' Z% x+ P9 @7 C$ s
sleep 17 B! h- ^. F1 i* n+ _
getpid
7 a: T* w1 F) q/ x4 U \% Q" ^' M* @
if [ -z "$pid" ]; then) p! y. \: e4 D4 S4 t+ X- e
rm -f /var/lock/subsys/fail2ban
5 K* d4 z( m: G2 |+ a
echo_success
R) C. a, E( \- o6 A8 |
else
6 W! M4 d0 H6 s3 _4 b3 e$ c: b
echo_failure1 N: K; C2 o* }5 `! a" |4 p
fi* m- }: i& s" w
else8 q5 X$ ?. d) I9 F
echo_failure
8 K3 a% |6 |+ Z! l. s* e8 |* X
fi8 g+ q6 W o3 U1 n7 _0 [2 ]
echo: i0 { ~/ o2 o: j# P' \
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定