web-dev-qa-db-fra.com

Installation de Fail2Ban sur Centos 7

J'utilise la réponse de @Gaethhered à - cette question Pour installer Fail2Ban sur un serveur Centos 7 distant. Je suis capable de compléter toutes les étapes jusqu'à tail -f /var/log/fail2ban.log, à quel point je reçois des résultats différents qu'il n'y a dans sa réponse.

Voici les résultats que je reçois à cette étape:

[[email protected] ~]# tail -f /var/log/fail2ban.log
2014-12-02 16:55:53,548 fail2ban.server.server[6667]: INFO    Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.0
2014-12-02 16:55:53,550 fail2ban.server.database[6667]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2014-12-02 16:55:54,239 fail2ban.server.database[6667]: WARNING New database created. Version '2'  

Après la dernière ligne, je viens d'obtenir un curseur mais aucune invite de commande sauf si je tape Ctrl-C.

Quand je tape systemctl status fail2ban, ça me dit que fail2ban c'est actif. Lorsque je me déconnecte du système et que je me connecte plus tard, sshd me dit qu'il y a eu beaucoup de tentatives infructueuses de se connecter depuis ma dernière connexion. Donc, il devrait y avoir fail2ban Journaux. Mais je ne peux pas sembler les trouver.

Quelqu'un peut-il me montrer comment obtenir cette configuration pour que fail2ban génère des journaux que je peux suivre?

15
CodeMed

Essayez d'installer fail2ban à partir de EPEL . Il est emballé pour Centos 7 et vous obtiendrez des mises à jour au fur et à mesure de leur libération. Installation du formulaire rpm Un autre repo peut fonctionner (il l'a fait dans ce cas) mais n'est pas la meilleure façon de faire les choses.

Tout d'abord, installez le référentiel EPEL en émettant les éléments suivants (en tant que root):

yum install epel-release

Ce qui précède doit installer EPEL et vous donner accès à de nombreux nouveaux packages . Un de ces paquets est fail2ban, par conséquent, installez-le en courant:

yum install fail2ban

Par défaut, il n'y a pas de jails configuré, donc pour configurer une prison de base sshd:

Créer/Modifier le fichier /etc/fail2ban/jail.local et ajouter:

[sshd]
enabled = true

Commencez-le avec:

systemctl start fail2ban

Faites-le commencer au démarrage:

systemctl enable fail2ban

Il y avait un Bug conn où Selinux bloquerait fail2ban D'accès aux fichiers journaux nécessaires pour faire son travail. Cela semble être fixé dans la version la plus récente de Centos 7; Vous ne devriez pas avoir besoin de faire les changements ci-dessous.

Si vous avez ce problème, les symptômes ne sont rien d'apparition dans les journaux et rien d'apparition en échec ou bloqué dans la sortie de fail2ban-client status sshd.

Pour vérifier l'erreur SELINUX, lisez les journaux avec:

journalctl -lfu fail2ban

Regardez-les pour des messages tels que:

SELinux is preventing /usr/bin/python2.7 from getattr access on the file .
       *****  Plugin catchall (100. confidence) suggests   **************************
       If you believe that python2.7 should be allowed getattr access on the  file by default.
       Then you should report this as a bug.
       You can generate a local policy module to allow this access.
       Do 
       allow this access for now by executing:
       # grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
       # semodule -i mypol.pp

Par conséquent, faites comme suggéré et exécutoire:

grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp

Ensuite, pour être sûr, redémarrez fail2ban:

systemctl restart fail2ban

Vous devrez peut-être même répéter le processus ci-dessus jusqu'à ce que plus aucun message d'erreur n'apparaisse dans le journal.

Si votre serveur est sur Internet, moniteur fail2ban-client status sshd. Il va bientôt commencer à afficher les comptes échoués et interdits si vous avez attrapé tous les problèmes SELINUX.

Notez que vous devrez garder un œil sur vos mises à jour de stratégie SELINUX. Si un selinux-policy Mise à jour du paquet apparaît, elle peut écraser ce qui précède et que vous devrez peut-être exécuter les commandes ci-dessus à nouveau. Vous saurez si c'est le cas comme fail2ban arrêtera de travailler à nouveau!

32
garethTheRed