Fail2ban adalah kerangka kerja pencegahan intrusi, yang bekerja bersama dengan sistem kontrol paket atau firewall yang terpasang di server Anda dan umumnya digunakan untuk memblokir upaya koneksi setelah sejumlah percobaan gagal.

Menginstal Fail2ban

Ia beroperasi dengan memantau berkas log untuk jenis entri tertentu dan menjalankan tindakan yang telah ditentukan berdasarkan temuannya. Anda dapat menginstal perangkat lunak dengan yang berikut ini

sudo apt install fail2ban

Setelah terinstal, salin file jail.conf default untuk membuat konfigurasi lokal dengan perintah ini

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Kemudian buka file konfigurasi lokal baru untuk diedit dengan editor teks favorit Anda, misalnya

sudo nano /etc/fail2ban/jail.local

Gulir ke bawah untuk melihat beberapa pengaturan yang tersedia dalam berkas konfigurasi.

Pertama-tama adalah pengaturan dasar untuk ignoreip , yang memungkinkan Anda untuk mengecualikan alamat IP tertentu agar tidak diblokir, misalnya jika komputer Anda sendiri memiliki IP tetap, Anda dapat memasukkannya di sini. Selanjutnya, atur bantime yang menentukan berapa lama host yang melanggar akan tetap diblokir hingga diblokir secara otomatis. Terakhir, periksa jumlah findtime dan maxretry , yang mana find time mengatur jendela waktu untuk upaya percobaan ulang maksimum sebelum IP host yang mencoba terhubung diblokir.

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 3600 
findtime = 600
maxretry = 3

Jika Anda memiliki layanan sendmail yang dikonfigurasi pada server cloud Anda, Anda dapat mengaktifkan pemberitahuan email dari Fail2ban dengan memasukkan alamat email Anda ke dalam parameter destemail dan mengubah tindakan = %(action_)s menjadi action = %(action_mw)s.

Setelah Anda menyelesaikan konfigurasi dasar, periksa berbagai jail yang tersedia di opsi konfigurasi. Penjara adalah aturan yang fail2ban berlaku untuk aplikasi atau file log apa pun. Pengaturan jail SSH, yang dapat Anda temukan di bagian atas daftar jail, diaktifkan secara default.

[sshd]
enabled = true

Anda dapat mengaktifkan modul penjara lainnya dengan cara yang sama dengan mengedit parameter enabled menjadi true .

Setelah Anda mengaktifkan semua jail yang Anda inginkan, simpan berkas konfigurasi dan keluar dari editor. Kemudian Anda perlu memulai ulang monitor dengan perintah berikut

sudo service fail2ban restart

Setelah itu selesai, Anda sekarang harus memeriksa aturan iptable Anda untuk bagian jail yang baru ditambahkan pada setiap modul aplikasi yang Anda aktifkan.

sudo iptables -L

Setiap alamat IP yang diblokir akan muncul di rantai tertentu tempat upaya login yang gagal terjadi. Anda juga dapat memblokir dan membatalkan pemblokiran alamat IP secara manual dari layanan yang Anda tentukan jail-nya dengan perintah berikut.

sudo fail2ban-client set <jail> banip/unbanip <ip address>
# For example
sudo fail2ban-client set sshd unbanip 83.136.253.43