防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數3 U. C K6 V- E6 F0 A
#logtarget = SYSLOG3 [6 W; o! {+ R( Y" j5 m* k3 k4 x
#調整後的參數
/ L; @& w# m% i% X. _! y# v4 p
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數; @+ }( L8 f/ K/ l# x) y8 o
#backend = auto / z* h( I# Y+ L
#調整後的參數& R( q$ C# U0 h9 q
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
( \+ H% F8 f% e M
#是否啟用
# U! M5 f* P: H) B i
enabled = true e8 k Z2 b' V6 [: l
#過濾名稱，使用預設的即可
6 v( D/ s5 U: u# u* S9 |$ g; T' I
filter = sshd/ ^' u) G8 V: [# o4 t
#iptables設定' [4 b' B$ H, r/ n9 H9 c/ \
action = iptables[name=SSH, port=22022, protocol=tcp]
' ?; p% f' y% f& g3 {7 E" }
#發生阻擋時的寄信設定3 A: X# P; w9 A
sendmail-whois[name=SSH, [email protected], [email protected]]
. |" U, r7 G+ z h5 V+ ?
4 Y+ G8 u* M* F3 v" e
#需要掃描的記錄檔
h4 `3 \$ X6 G: M( m) c& `
logpath = /var/log/secure; v; C' h+ m- j
#最高嘗試錯誤次數. z( |- p) q8 {% j2 Y; o, q$ k
maxretry = 2
+ e8 c8 }, H2 Q* R2 w& o% Y+ y9 q
#阻擋的時間，-1表示永久阻擋. `. f7 t2 n6 F. v! ]
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {; b4 u" t3 s5 q6 C
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "
0 Y! ^; Z _) G6 ]! L# v! a
getpid, U$ s! Y( m6 a9 o. _. J' h
if [ -z "$pid" ]; then
$ n8 _. j c D
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban
* W9 ^- [$ b; @% d! i+ d* L
$FAIL2BAN -x start > /dev/null! Y* F! f6 _* u+ e8 j% k
RETVAL=$?
- r7 M4 Y9 \: y* U
fi1 h1 \ _6 q y9 A* X& a
if [ $RETVAL -eq 0 ]; then
; f( L, N# R. k: z" e0 p3 T
touch /var/lock/subsys/fail2ban$ ^2 _7 @/ z( `- ]
echo_success
. f, x$ d# V4 `- K. ^6 P5 k
/sbin/service iptables restart # reloads previously banned ip's; o4 i0 }& P* E4 U
else
" G4 S7 u3 t* [/ b$ O! w
echo_failure, d$ X5 N$ N* c+ F" B! B
fi" \1 g% P# t# n6 x! V2 D" [
" o( k+ S$ o. u0 O
echo' z- H L E1 u/ V J6 O
return $RETVAL/ M1 g R2 z( w% H
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
; L" X a: a/ D! O6 Z0 h
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "* D; z. ~* I+ _: v, `
getpid4 z2 t6 P* ?. {- E( Q
RETVAL=$?
- j: x) N3 z! p: a. P
if [ -n "$pid" ]; then
; f( U: q' L6 q+ {( R" F1 o1 J: w5 q
/sbin/service iptables save # saves banned ip's0 u5 j- a% r, e+ l; M% m/ h5 W5 T
$FAIL2BAN stop > /dev/null) f: ]3 X* _$ Q, f9 P
sleep 1
6 m! W% Q% H" q! S, `4 W+ @
getpid, k. `" f" J; J2 _6 T
if [ -z "$pid" ]; then
1 |; a( Y- ^. D$ _
rm -f /var/lock/subsys/fail2ban6 [4 l+ M6 k" L# C) q! x( k+ O5 d" ~
echo_success
4 u H* }/ U& u5 F2 e6 P
else' X% `: X, p$ K& h$ c0 q
echo_failure
( W& m+ }$ [* Y7 ~
fi
4 A9 D3 A6 ?/ r+ o! Q2 H/ V
else
, q& W* w6 n1 G, s
echo_failure# p; d# E7 @( b0 _# M1 s1 i L
fi# ^5 o, T3 d: H" r6 o0 c
echo
1 H0 ^# R2 M3 h4 M& b K. N& G
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定