防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數7 f$ f' g. Z' q- K7 i3 J/ B
#logtarget = SYSLOG7 S$ p6 X0 n* X ?; F' a# t1 l
#調整後的參數 N) T8 k- A5 {3 L' [2 X/ O
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數& j+ p5 `" ~2 C1 R, S
#backend = auto , p" k6 S& p4 L( _" \' }1 R7 l! ^9 E( L
#調整後的參數 |* Y, ^6 D6 C9 k' X9 ?
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]$ v# t6 z9 c8 L4 Q3 X' i
#是否啟用$ e2 k- k2 `/ x' D$ S9 S5 U0 |
enabled = true, X; D) L& G( s/ Z: z
#過濾名稱，使用預設的即可7 k# X3 D5 p( k! {) W1 F: w2 O
filter = sshd, {. {. { h+ H, M
#iptables設定
( M% e6 R$ O# a2 ?
action = iptables[name=SSH, port=22022, protocol=tcp] ^* w1 `5 J8 W& l P3 t/ b
#發生阻擋時的寄信設定
; G- w& `; d6 {3 T
sendmail-whois[name=SSH, [email protected], [email protected]]1 J) i" B7 t- [: g% l
, U5 \9 N) T8 D
#需要掃描的記錄檔7 `. _" C* H) S; L2 v! B
logpath = /var/log/secure
/ Z: o, L, H7 e; @9 q) O4 b
#最高嘗試錯誤次數
& ^/ W6 C7 \* A
maxretry = 28 A. J, w o) P1 ?# K
#阻擋的時間，-1表示永久阻擋
; X8 @' Y5 O0 k% [
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
% E& V8 Z- R0 m; C' T8 y
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "( L7 F: n: y5 O6 l3 D
getpid* C/ e$ p! ]" D0 ~9 P
if [ -z "$pid" ]; then
, \* }6 v+ x" j
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
/ M. X. q+ R; X1 a
$FAIL2BAN -x start > /dev/null
; Y/ f. |: l% w& S2 P T
RETVAL=$?
. p4 E u/ [# S. i
fi2 }) g5 R/ ], [* e
if [ $RETVAL -eq 0 ]; then
; U K* F$ P( D' W' O- ?
touch /var/lock/subsys/fail2ban+ Z) t9 t- ]! F; q: Z3 `" c6 _3 u
echo_success5 y- N: d _# Z( I1 b
/sbin/service iptables restart # reloads previously banned ip's1 }: x1 n u1 Z, G" W+ |
else
8 i$ m" P: P' B. Q
echo_failure
" r* p# c7 [" a- ~
fi# B }0 I; P2 m3 x
( ?0 |. ?6 r: W, c# U4 f
echo/ r, w' d: Y! b! K0 ^- ]7 r; J5 \
return $RETVAL5 N* N( a9 ~- L5 n
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
3 _7 z; ^1 z/ q. l ]+ x
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "$ j9 T7 u2 ?* H w
getpid
# S* u9 f. L3 L0 c: e9 a# A" U
RETVAL=$?
# d5 W( w" d, Q( X6 w
if [ -n "$pid" ]; then
) p+ s% w5 K P- v% d/ t" t
/sbin/service iptables save # saves banned ip's
8 s* k, u& m" p
$FAIL2BAN stop > /dev/null c0 D5 I& |, N, n u7 F
sleep 12 f: l! c9 M$ s- m% t( Z
getpid. S" C" v8 u: V1 ?" e) W4 \
if [ -z "$pid" ]; then
2 k4 [9 C6 r% n. j# b
rm -f /var/lock/subsys/fail2ban
; ]" `- g$ W3 y+ z( N! A5 p. }
echo_success
3 J4 Y4 ^" ?5 t2 @+ t- K$ @) F: X W
else* L4 X+ C1 O4 j5 u
echo_failure5 ^1 n4 T. S" u' a0 {0 W# o
fi' Q$ N# n& M8 b6 g- A- b5 _
else
5 h8 ^: ~" w( j) ] j: f% r
echo_failure
9 X& r7 n1 L0 v% ]5 i/ F
fi
2 h; E3 c) k/ H& j( E
echo+ }, ^3 }& v C: ~
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定