防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數; j5 `+ e: t& ?. ?4 ^
#logtarget = SYSLOG
. C5 C, i+ l7 r, j# }8 a
#調整後的參數
) ^- l7 Z. j' f- m7 L4 Z* q7 f
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數 q) U/ @3 u+ J5 _
#backend = auto 4 q, n( p$ `. j5 y
#調整後的參數( k9 v$ e \( ^4 x: [* _
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]4 `, F l, J. v4 G2 L$ D; ^) d+ e
#是否啟用
2 l' Y( V$ ?5 X7 V
enabled = true
& ]) Z! E0 v5 S* v
#過濾名稱，使用預設的即可. t8 ?% D7 x9 c7 Y) Z+ g! c
filter = sshd4 p( X0 u0 f$ y9 h7 E0 S+ g; V
#iptables設定
Z; n! H) D7 P6 X6 q
action = iptables[name=SSH, port=22022, protocol=tcp]( h- x+ @0 |3 f
#發生阻擋時的寄信設定7 [7 `% W* o! Z V
sendmail-whois[name=SSH, [email protected], [email protected]]
2 K+ C# A$ J, n) a
#需要掃描的記錄檔5 b3 Q) H/ i9 t4 y" g: t D3 g
logpath = /var/log/secure) o! ]! D S" C3 j, Q: z; [
#最高嘗試錯誤次數
V M* c% o. z7 G- |
maxretry = 2$ \; X2 z2 I& x( c2 Q) r( {
#阻擋的時間，-1表示永久阻擋
$ S5 m6 q% Q, X' s" ~
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
7 Q2 f. c( f( r1 U$ y/ t9 Q
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
1 z# j3 a, e- Z% l9 w$ P
getpid
& `; J4 f9 r$ t- C( U
if [ -z "$pid" ]; then( m+ n& W! D" ~3 J5 B; k
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban7 x/ w: f5 S e& Z
$FAIL2BAN -x start > /dev/null
+ j& h+ }0 f( h& v
RETVAL=$?
1 F& z8 J7 W' g2 c5 w0 ?
fi. v c7 B& W) L* E. |- v
if [ $RETVAL -eq 0 ]; then9 T) w9 a1 i* n5 E
touch /var/lock/subsys/fail2ban
6 a- x9 O) C( l4 L/ p, G( f" I
echo_success
" _+ m* Z4 ]2 R. z) d8 ?
/sbin/service iptables restart # reloads previously banned ip's
% j( e+ a: t, M$ {
else1 ^3 |" U1 x5 h; p# U# N5 t+ {" {. Q
echo_failure
3 f! b) ^0 w, m" ?4 `; z3 A
fi! i% n2 V' j1 ?7 s' v
# U! S& i5 H% Y& z
echo h, |( j( P9 G- _) h3 _7 ?
return $RETVAL
. J8 K, ]6 Y) [4 T8 O# @5 ^8 o
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
9 U( @4 T- N `" c" K
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
, y6 _5 F5 a) J' L$ M
getpid
% \7 n' c0 r5 `* g5 M/ @* y$ V" z6 k
RETVAL=$?
' w! `$ H& f2 T4 n# W& a# `
if [ -n "$pid" ]; then
% p* u% o- Y" G. p5 r3 Q0 P5 t
/sbin/service iptables save # saves banned ip's
7 ]1 x9 J( ]- M+ o( i! d) n
$FAIL2BAN stop > /dev/null
! J; s% I R/ M; c
sleep 1: r; x- j2 C& t5 x
getpid
]' Q$ u+ x8 J& K: Z3 c2 G
if [ -z "$pid" ]; then
: X0 K( \; v. n1 L; v4 h4 { s
rm -f /var/lock/subsys/fail2ban3 I) A$ C1 V \ e- s* Z6 B8 a
echo_success7 F) k/ @, z' Q2 o) w; i6 T
else$ d4 T, P8 t3 P; g) W
echo_failure/ \$ R1 e; H; g1 A) M" D
fi7 Z$ _! v+ B9 i4 M( i& I
else
4 @5 c3 k5 o7 s' y' |
echo_failure' b9 u" v9 {& {7 C+ Y3 d
fi
4 r7 o! ]9 M( N; [5 N. C2 c
echo
1 p% v( H1 k+ ~5 T7 _ t% Y
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定