Jack Wallen memandu Anda melalui proses menginstal fail2ban di Ubuntu Server 22.04 untuk mencegah upaya login yang berbahaya.
Fail2ban adalah salah satu hal pertama yang harus Anda instal pada penerapan server Linux baru Anda. Setelah di-deploy, fail2ban berfungsi untuk mencegah serangan login yang berbahaya dan brute force dan dapat digunakan untuk memantau protokol seperti HTTP, SSH, dan FTP.
Jika fail2ban mendeteksi upaya login yang berbahaya, maka secara otomatis akan memblokir alamat IP yang melanggar, sehingga siapa pun yang mencoba serangan tersebut akan dicegah untuk mendapatkan akses.
Saya akan memandu Anda melalui proses menginstal fail2ban pada rilis terbaru Server Ubuntu (22.04, juga dikenal sebagai Jammy Jellyfish).
Yang Anda perlukan
Satu-satunya hal yang Anda perlukan untuk mengaktifkan dan menjalankan fail2ban adalah instance Ubuntu Server 22.04 dan pengguna dengan hak sudo.
Itu saja:Mari kita amankan server itu.
Cakupan pengembang yang harus dibaca
Cara menginstal fail2ban
Instalasi fail2ban sangat sederhana. Masuk ke instance Server Ubuntu Anda dan jalankan perintah:
sudo apt-get install fail2ban -y
Mulai dan aktifkan layanan fail2ban dengan:
sudo systemctl enable --now fail2ban
Jika Anda menjalankan firewall UFW – dan memang seharusnya demikian – maka Anda mungkin perlu mengizinkan lalu lintas SSH ke server dengan perintah:
sudo ufw allow ssh
Cara mengkonfigurasi fail2ban
Fail2ban bergantung pada beberapa file dan direktori yang berbeda, yaitu:
- fail2ban.conf – file konfigurasi utama
- jail.conf – contoh konfigurasi jail
- action.d – berisi berbagai konfigurasi tindakan fail2ban untuk hal-hal seperti email dan firewall
- jail.d – berisi konfigurasi jail fail2ban tambahan
Kami akan membuat file baru, jail.local, dan mengonfigurasi fail2ban untuk mencegah login SSH yang berbahaya.
Buat file baru dengan:
sudo nano /etc/fail2ban/jail.local
Di file itu, rekatkan konten berikut:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Berikut uraiannya di atas:
- diaktifkan – mengaktifkan penjara
- port – port fail2ban akan mendengarkan
- filter – filter bawaan fail2ban akan digunakan
- logpath – direktori yang menampung log fail2ban
- maxretry – jumlah percobaan gagal yang diperbolehkan sebelum IP diblokir
- findtime – jumlah waktu antara upaya login yang gagal
- bantime – jumlah detik alamat IP yang diblokir
- ignoreip – alamat IP yang akan diabaikan oleh fail2ban
Simpan dan tutup file.
Mulai ulang fail2ban dengan:
sudo systemctl restart fail2ban
Cara menguji fail2ban
Masuk ke komputer lain dan coba login SSH ke server yang menampung fail2ban. Pastikan Anda salah mengetik sandi sebanyak 3 kali.
Setelah upaya ketiga, SSH akan mengunci Anda dan Anda harus menggunakan kombinasi tombol CTRL + C untuk mengembalikan Anda ke prompt. Jika Anda mencoba login SSH lain, Anda akan melihat kesalahan Koneksi ditolak.
Cara membatalkan pemblokiran alamat IP
Setelah pengujian, Anda mungkin ingin membatalkan pemblokiran alamat IP yang Anda gunakan. Pastikan Anda memiliki IP yang diblokir dengan perintah:
sudo fail2ban-client status sshd
Anda akan melihat sesuatu seperti berikut ini:
Status for the jail: sshd
|- Filter | |- Currently failed: 0 | |- Total failed: 3 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.40
Untuk membatalkan pemblokiran alamat IP 192.168.1.40, Anda akan mengeluarkan perintah:
sudo fail2ban-client set sshd unbanip 192.168.1.40
Anda akan melihat nomor satu tercetak, karena itu adalah berapa banyak alamat IP yang baru saja Anda batalkan pemblokirannya.
Anda juga dapat memblokir IP secara manual dengan perintah:
sudo fail2ban-client set sshd banip 192.168.1.40
Selamat, Anda telah berhasil menginstal dan mengonfigurasi fail2ban untuk memblokir login SSH yang tidak diinginkan ke instance Server Ubuntu Anda.