防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數1 p s6 n" N7 ]3 i( |' q9 d
#logtarget = SYSLOG
: a; R; M8 v I+ K$ b& s
#調整後的參數
" [5 k! q: l: O0 x
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
1 g7 ]! P/ S' D. w
#backend = auto 6 G* t3 v2 s/ h2 ]' `% s( u
#調整後的參數% y) ^1 ]; g6 C7 W8 r# G7 O' D$ G
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
) n4 ^6 f& x9 ^7 t1 O& x( S1 a$ j1 t
#是否啟用
3 ~& m, j1 R5 I/ B$ V5 A
enabled = true
) I& R3 g8 b) l+ ^ k8 x5 @
#過濾名稱，使用預設的即可
$ }& d; |" L; d7 L" l" T
filter = sshd
/ E( x5 C) T- I; Y: h
#iptables設定: }* ~) }/ o. H/ ^# `4 E# Z
action = iptables[name=SSH, port=22022, protocol=tcp]4 C3 X3 T! [# t: p" C/ H- ?
#發生阻擋時的寄信設定: u9 P0 s$ b! D: d. p
sendmail-whois[name=SSH, [email protected], [email protected]]9 C0 s' t# y" [ h6 E
4 L- s( g" o1 S2 \$ t# `+ D+ D
#需要掃描的記錄檔- a; A) s8 o! I0 C
logpath = /var/log/secure) N! G5 v6 z; T; ]1 E
#最高嘗試錯誤次數
1 ^$ S" Y+ Z* X6 X/ c
maxretry = 2
2 n) T6 e- Y* Z/ E8 C
#阻擋的時間，-1表示永久阻擋1 S: C& q& R1 I9 K
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {
& ~/ Q! x+ C1 w4 ?
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: ", d$ _: S, n5 U+ _
getpid
! Y2 a1 T! d! N" ^. N
if [ -z "$pid" ]; then* s3 m# K; a& _2 g# o: r
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
[4 p$ Y/ h- C I" y0 W4 a* S
$FAIL2BAN -x start > /dev/null
2 @" f6 K' z/ y
RETVAL=$?
$ f2 Y t3 `; D# g& k4 d2 z
fi/ T5 t; k' P! b' n
if [ $RETVAL -eq 0 ]; then
8 h$ S6 }1 _) o& z; p6 h
touch /var/lock/subsys/fail2ban( z: @ B7 [' A* K4 Z
echo_success! E/ B0 K! B7 t' r& s* M
/sbin/service iptables restart # reloads previously banned ip's
+ A4 M. k8 ^6 G# `3 x3 T
else, G3 r( w. ~ r) S) @
echo_failure
$ A5 y1 G( T# e! q! Q
fi" r$ K2 y D; v1 m
; a* h/ h1 z! U' Y+ X7 Y
echo- E8 L! _5 H1 e# u
return $RETVAL
% F1 M- x+ `* ?
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
; D# [% R% s" @6 Z
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "! g* N' f; l6 M4 O9 [
getpid; Z5 d+ N; ^5 h, i
RETVAL=$?
( K% u5 e9 F9 V3 z
if [ -n "$pid" ]; then; `! B9 g9 o$ E2 j u
/sbin/service iptables save # saves banned ip's! B* M5 m9 h9 o; o
$FAIL2BAN stop > /dev/null) X, y& v4 |( h- `5 g/ r. A: R0 L
sleep 13 s. B* n: T) \( D$ V: D# c- w
getpid
c5 k2 ]8 k7 q& b1 P
if [ -z "$pid" ]; then
/ S9 n. S! ~# L9 f. b3 d
rm -f /var/lock/subsys/fail2ban
- m/ x( {/ R) z- A: L% S6 @
echo_success
7 x/ R2 t8 Q6 Q
else
4 D7 W$ G! n1 N' A; c: [
echo_failure, ~2 m* E; G5 B2 R- n, V
fi% [ O$ K& b, G5 H0 A( W
else
4 c7 L, q( L$ C; C$ h! M
echo_failure; o/ U+ |2 g6 c; s8 N! P
fi
: t' R- T3 w. m" H% i/ I1 e; V
echo% u) }& [: L# q3 t- b$ w# ^. y
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定