防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數
4 D3 Q" _ }$ `+ T
#logtarget = SYSLOG
0 g M6 ?+ h* d, h+ |! S
#調整後的參數% A+ ^/ @* [0 k) @
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
. l A- z9 ]; z2 {0 u l* ^
#backend = auto
9 r/ w% }0 p Y" ?) \/ n7 [; N1 V
#調整後的參數0 Y- H' V8 }* ^' W
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
5 q, S9 v3 C$ a
#是否啟用
4 J! J) Z* R" L( _2 a& y$ G3 G
enabled = true
" _, D/ T9 b7 l2 J, |; F3 Y
#過濾名稱，使用預設的即可
3 L, l: S2 T9 ~% |# o
filter = sshd
8 x5 X1 r0 X& Y6 u
#iptables設定3 G* t; V8 z3 [" t& k
action = iptables[name=SSH, port=22022, protocol=tcp]
1 \; O: L1 w! u; D0 F% [. T; q
#發生阻擋時的寄信設定1 r8 l5 g) G6 l4 v0 C' X
sendmail-whois[name=SSH, [email protected], [email protected]]
4 R" K6 d- q$ W! ?6 t6 D: T
/ l9 B2 P/ m- y7 Q- b
#需要掃描的記錄檔' L J& E4 W& K* R& |
logpath = /var/log/secure
0 H+ E9 F1 N7 D, s* _" e( b0 N& P- R
#最高嘗試錯誤次數
/ w$ W( d* _4 {' m8 J5 ^' B
maxretry = 2
3 K( j7 i2 @5 w! E$ F; T( w6 p
#阻擋的時間，-1表示永久阻擋7 M5 {3 w% R* z8 V+ d9 j
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
3 o8 x" C5 Z1 A5 F7 o. T: U
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "7 o* l; D9 B" H8 C- F7 i1 J6 j" Z2 ~
getpid* G! ~2 h- m b4 O( s& e
if [ -z "$pid" ]; then
! ?& M. @( e) [. u
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
& `. \- O- ?( Z. j- _# ~5 X
$FAIL2BAN -x start > /dev/null/ i" ?& u9 s1 Y# u1 |' q
RETVAL=$?, o) j Y/ }1 Q# s7 F
fi
2 i7 |1 f* o% M' u& r/ a
if [ $RETVAL -eq 0 ]; then
& v; v% p% Q. n" k
touch /var/lock/subsys/fail2ban
; F P9 [; U: M% j
echo_success
, Y6 u( _1 g0 b$ h3 p
/sbin/service iptables restart # reloads previously banned ip's
$ ^+ M) ?( \1 c' u# M! p
else! R+ k- @( `, h# D* r: Q8 @
echo_failure
, k& u8 M7 \0 e) X8 U' n. [4 b& T
fi
- z7 z/ r9 B7 }. V: [# ^9 J( [
5 W$ t# r, s" {+ X( ^
echo, V) r* `/ {' D
return $RETVAL8 I' K* y6 i7 x5 H
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
4 M/ n$ h! E/ K4 p( r4 A; P/ Y
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: ". L) z8 Y; r$ L+ e+ X
getpid1 U' @% q+ Z# w5 x) o" z h
RETVAL=$?
. d) F' D0 ^% ]9 q; L3 H! y
if [ -n "$pid" ]; then
* s; b [3 v; k
/sbin/service iptables save # saves banned ip's
X! E9 T% d4 Y' b
$FAIL2BAN stop > /dev/null
+ F/ b/ p/ O6 A+ a
sleep 1 u1 ?' E# F/ r; Q
getpid4 k( U9 Y0 w' a9 @
if [ -z "$pid" ]; then: D' l4 [, |- a) Y% G! B
rm -f /var/lock/subsys/fail2ban; v4 W4 s4 N) R8 f# W. F
echo_success
' Q4 N" i/ G) \0 R6 P" Y5 ?% U$ [
else
: r: e3 i3 n) n$ E: j
echo_failure
9 l+ [6 y! [0 A( _, P2 ]
fi
' j" \( d, Q3 a3 V* Z& B
else
+ N' D o7 ?, f' U0 ]! G
echo_failure
! p# G1 Y4 E+ L" P' w h
fi7 q8 k7 U6 }; j/ _" x4 x
echo" P& j0 w- @+ ]. B+ b
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定