Salah satu vektor serangan yang paling umum terhadap server adalah upaya login brute force. Di sinilah penyerang mencoba mengakses server Anda, mencoba kombinasi nama pengguna dan kata sandi yang tak terbatas.
Untuk masalah seperti ini solusi tercepat dan paling efektif adalah membatasi jumlah upaya dan memblokir akses ke pengguna atau IP tersebut untuk waktu tertentu. Penting juga untuk diketahui bahwa untuk ini ada juga aplikasi open source yang dirancang khusus untuk bertahan dari serangan jenis ini.
Dalam postingan hari ini, Saya akan memperkenalkan Anda satu yang disebut Fail2Ban. Awalnya dikembangkan oleh Cyril Jaquier pada tahun 2004, Fail2Ban adalah kerangka kerja perangkat lunak pencegahan intrusi yang melindungi server dari serangan brute force.
Tentang Fail2ban
Fail2ban memindai file log (/ var / log / apache / error_log) dan melarang IP yang menunjukkan aktivitas berbahaya, seperti terlalu banyak kata sandi yang salah dan mencari kerentanan, dll.
Secara umum, Fail2Ban digunakan untuk memperbarui aturan firewall untuk menolak alamat IP untuk jangka waktu tertentu, meskipun tindakan sewenang-wenang lainnya (misalnya, mengirim email) juga dapat dikonfigurasi.
Menginstal Fail2Ban di Linux
Fail2Ban ditemukan di sebagian besar repositori distribusi Linux utama dan lebih khusus lagi yang paling banyak digunakan untuk digunakan di server, seperti CentOS, RHEL, dan Ubuntu.
Dalam kasus Ubuntu, cukup ketikkan yang berikut ini untuk instalasi:
sudo apt-get update && sudo apt-get install -y fail2ban
Sedangkan untuk Centos dan RHEL, mereka harus mengetik sebagai berikut:
yum install epel-release
yum install fail2ban fail2ban-systemd
Jika Anda memiliki SELinux, penting untuk memperbarui kebijakan dengan:
yum update -y selinux-policy*
Setelah ini selesai, mereka harus tahu di latar depan bahwa file konfigurasi Fail2Ban ada di / etc / fail2ban.
Konfigurasi Fail2Ban terutama dibagi menjadi dua file kunci; ini adalah fail2ban.conf dan jail.conf. fail2ban.confes file konfigurasi Fail2Ban yang lebih besar, di mana Anda dapat mengkonfigurasi pengaturan seperti:
- Tingkat log.
- File untuk masuk.
- File proses socket.
- File pid.
jail.conf adalah tempat Anda mengonfigurasi opsi seperti:
- Konfigurasi layanan yang akan dipertahankan.
- Berapa lama dilarang jika mereka harus diserang.
- Alamat email untuk mengirim laporan.
- Tindakan yang harus diambil saat serangan terdeteksi.
- Satu set pengaturan standar, seperti SSH.
konfigurasi
Sekarang kita akan beralih ke bagian konfigurasi, Hal pertama yang akan kita lakukan adalah membuat salinan cadangan dari file jail.conf kita dengan:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Dan kami melanjutkan untuk mengedit sekarang dengan nano:
nano /etc/fail2ban/jail.local
Di dalamnya kita pergi ke bagian [Default] dimana kita bisa membuat beberapa penyesuaian.
Di sini, di bagian "ingoreip" adalah alamat IP yang akan ditinggalkan dan mereka akan sepenuhnya diabaikan oleh Fail2Ban, yang pada dasarnya adalah IP server (yang lokal) dan yang lainnya yang menurut Anda harus diabaikan.
Dari sana keluar IP lain yang memiliki akses gagal akan dibatasi oleh hukum dan tunggu jumlah detik yang akan dilarang (secara default adalah 3600 detik) dan fail2ban hanya bertindak setelah 6 upaya gagal
Setelah konfigurasi umum, kami sekarang akan menunjukkan layanan. Fail2Ban sudah memiliki beberapa filter standar untuk berbagai layanan. Jadi lakukan saja beberapa adaptasi. Berikut ini contohnya:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Dengan perubahan yang relevan dibuat, Anda akhirnya perlu memuat ulang Fail2Ban, berjalan:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Setelah ini selesai, mari kita lakukan pemeriksaan cepat untuk melihat bahwa Fail2Ban sedang berjalan:
sudo fail2ban-client status
Batalkan pelarangan IP
Sekarang kita telah berhasil memblokir sebuah IP, bagaimana jika kita ingin membatalkan larangan IP? Untuk melakukan itu, kita dapat kembali menggunakan fail2ban-client dan memberitahukannya untuk membatalkan larangan IP tertentu, seperti pada contoh di bawah ini.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Dimana "xxx ...." Ini akan menjadi alamat IP yang Anda tunjukkan.