防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數( {% Z2 L- ~7 C+ v* O
#logtarget = SYSLOG- z/ ], G3 K$ K: \5 W) v. g
#調整後的參數6 E6 M& M! B* {. M
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
8 c ?5 x1 L6 R: C6 _
#backend = auto
# \% y# T7 W0 G
#調整後的參數
$ d5 s0 s; J' E7 D$ P
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]* v; p' n! }+ ]* y6 s
#是否啟用" J$ X% u% e& e; j
enabled = true# `% o6 N1 z9 ?$ v0 Q6 d3 P( ]
#過濾名稱，使用預設的即可% V5 G; G6 q% W' K5 ]4 a3 D
filter = sshd4 w' J4 q+ E) r7 S e! |
#iptables設定
: u- w& b: [( u7 I( s
action = iptables[name=SSH, port=22022, protocol=tcp]2 }# [- Y, n/ d6 I/ o" z7 ^
#發生阻擋時的寄信設定
9 w4 c( q& @6 u' ]
sendmail-whois[name=SSH, [email protected], [email protected]]
9 m0 ^/ }& K0 _- I2 m# s. P
" N/ z% V) y0 _& ]0 F% t
#需要掃描的記錄檔
$ C% {2 W# I; o% D
logpath = /var/log/secure& r# H D5 T2 k" x1 n1 u9 u7 i
#最高嘗試錯誤次數
- m$ |& r4 H( R. r% q
maxretry = 2
& }. _+ n2 ]# i( \0 \, G
#阻擋的時間，-1表示永久阻擋
/ L- a* o9 \; \% E4 [* d
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
) ?/ Y$ \& E1 M( N, g, `0 W& h/ E
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "9 L6 b7 w: ^6 D4 \: C
getpid+ N$ o6 B8 w7 e. E7 u& m
if [ -z "$pid" ]; then
$ f8 C; p* z: ?; Q) o( [
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban6 ^9 F" O7 W& W- ~( I
$FAIL2BAN -x start > /dev/null t$ \' B8 K; T* U
RETVAL=$?
, V4 Y( ]& N* }" Z+ w0 D8 T3 \
fi( E& q9 S- Z6 A
if [ $RETVAL -eq 0 ]; then
- w b5 |: \8 ?* K
touch /var/lock/subsys/fail2ban; A( t% o1 T3 R# t0 I4 S
echo_success7 H8 ^5 H" g$ t, V0 w" |+ e
/sbin/service iptables restart # reloads previously banned ip's
6 ]2 L, W$ o# l& S' G
else7 M$ n) L6 n! o+ G4 }1 e2 ]& Y! H: P6 M
echo_failure g; z* A, Z* K4 m7 L) ^
fi c+ J4 B+ Y6 i! t
/ }7 t: M6 } n$ D
echo6 L6 F! W. {% F! k' b0 x
return $RETVAL" e" b. o* g' a4 C9 M
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {8 x# V3 k, h$ T0 g0 P* @: {
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
- y0 v( Q7 q, b5 n
getpid
2 w- i$ u6 k3 A: L$ x( Y
RETVAL=$?; ^( U5 x9 V+ v$ ^
if [ -n "$pid" ]; then/ X' `2 X. w+ A# i: `
/sbin/service iptables save # saves banned ip's4 W8 m9 h% u4 d2 K$ M6 E
$FAIL2BAN stop > /dev/null# p! N: G" q& b. @
sleep 13 }9 O8 X; W8 E( ^9 K- h
getpid2 J9 z; g: R# t5 M3 l
if [ -z "$pid" ]; then7 m2 E+ Z% T: E! [& W# R0 X' l1 m) v
rm -f /var/lock/subsys/fail2ban6 a8 g/ {- H. W0 Y8 T! S
echo_success
. y1 ~) w8 U0 H8 d4 Z; }3 }6 i
else5 I& m( S$ B* a+ q! j( h
echo_failure
8 R! _0 \8 g H3 e# l, F- Y B2 Z
fi
5 B+ t" O+ C/ o2 s" _5 F% ~
else- t6 E2 q6 C) u9 S
echo_failure
1 p' D& G6 Q3 O% \3 Q5 V% e1 f& [" u
fi6 _" T) Q, ?$ O* \
echo9 H% H( Y. A3 g) L$ _. h, d
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定