Sebagian besar server Linux menawarkan login SSH melalui Port 22 untuk keperluan administrasi jarak jauh. Port ini adalah port yang terkenal, oleh karena itu sering diserang oleh serangan brute force. Fail2ban adalah perangkat lunak yang memindai file log untuk upaya login brute force secara real-time dan melarang penyerang dengan firewalld atau iptables. Fail2ban mengenali akses yang tidak diinginkan atau upaya pelanggaran keamanan ke server dalam kerangka waktu yang ditetapkan administrator dan memblokir alamat IP yang menunjukkan tanda-tanda serangan brute force atau serangan kamus. Program ini bekerja di latar belakang dan terus-menerus memindai file log untuk menemukan pola login yang tidak biasa dan upaya pelanggaran keamanan.
Tutorial ini menunjukkan penginstalan dan konfigurasi Fail2Ban dengan firewalld di CentOS 7.
Menginstal Fail2Ban
Untuk menginstal Fail2Ban di CentOS 7, kita harus menginstal repositori EPEL (Extra Packages for Enterprise Linux) terlebih dahulu. EPEL berisi paket tambahan untuk semua versi CentOS, salah satu paket tambahan tersebut adalah Fail2Ban.
Perintah berikut harus dijalankan setelah beralih ke pengguna root.
yum install epel-release
yum install fail2ban fail2ban-systemd
Jika Anda telah menginstal SELinux, maka perbarui kebijakan SELinux:
yum update -y selinux-policy*
Konfigurasikan pengaturan untuk Fail2Ban
Setelah terinstal, kita harus mengkonfigurasi dan menyesuaikan perangkat lunak dengan file konfigurasi jail.local. File jail.local menggantikan file jail.conf dan digunakan untuk membuat pembaruan konfigurasi khusus Anda aman.
Buat salinan file jail.conf dan simpan dengan nama jail.local:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Buka file jail.local untuk diedit di Nano dengan perintah berikut.
nano /etc/fail2ban/jail.local
Kode file dapat terdiri dari banyak baris kode yang dijalankan untuk mencegah larangan pada satu atau banyak alamat IP, mengatur durasi waktu ban, dll. File konfigurasi jail pada umumnya berisi baris berikut.
[DEFAULT]
#
# MISCELLANEOUS OPTIONS
#
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8
# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =
# "bantime" is the number of seconds that a host is banned.
bantime = 600
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
# "maxretry" is the number of failures before a host get banned.
maxretry = 5
Abaikan digunakan untuk mengatur daftar IP yang tidak akan diblokir. Daftar alamat IP harus diberikan dengan pemisah spasi. Parameter ini digunakan untuk mengatur alamat IP pribadi Anda (jika Anda mengakses server dari IP tetap).
Bantime parameter digunakan untuk mengatur durasi detik di mana suatu host perlu diblokir.
Waktu Cari adalah parameter yang digunakan untuk memeriksa apakah sebuah host harus dibanned atau tidak. Ketika host menghasilkan maxrety dalam findtime terakhirnya, itu dilarang.
Maksretry adalah parameter yang digunakan untuk menetapkan batas jumlah percobaan ulang oleh host, setelah melebihi batas ini, host akan diblokir.
Tambahkan file jail untuk melindungi SSH.
Buat file baru dengan editor Nano
nano /etc/fail2ban/jail.d/sshd.local
Ke file di atas, tambahkan baris kode berikut.
[sshd]
enabled = true
port = ssh
#action = firewallcmd-ipset
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400
Parameter diaktifkan disetel ke benar, untuk memberikan perlindungan, untuk menonaktifkan perlindungan, disetel ke salah. Parameter filter memeriksa file konfigurasi sshd, yang terletak di jalur /etc/fail2ban/filter.d/sshd.conf.
Parameter tindakan digunakan untuk mendapatkan alamat IP yang perlu diblokir menggunakan filter yang tersedia dari /etc/fail2ban/action.d/firewallcmd-ipset.conf.
Pelabuhan parameter dapat diubah ke nilai baru seperti port=1212, seperti yang terjadi. Saat menggunakan port 22, parameter ini tidak perlu diubah.
Jalur Masuk menyediakan jalur tempat file log disimpan. File log ini dipindai oleh Fail2Ban.
Maksretry digunakan untuk menetapkan batas maksimum entri login yang gagal.
Bantime parameter digunakan untuk mengatur durasi detik di mana suatu host perlu diblokir.
Menjalankan layanan Fail2Ban
Saat Anda belum menjalankan CentOS Firewall, jalankan:
systemctl enable firewalld
systemctl start firewalld
Jalankan baris perintah berikut untuk menjalankan perangkat lunak pelindung Fail2Ban di server.
systemctl enable fail2ban
systemctl start fail2ban
Pelacakan entri login yang gagal
Perintah berikut digunakan untuk memeriksa apakah ada upaya yang gagal untuk masuk ke server melalui port ssh.
cat /var/log/secure | grep 'Failed password'
Menjalankan perintah di atas akan mendapatkan daftar upaya kata sandi root yang gagal dari alamat IP yang berbeda. Format hasil akan mirip dengan yang ditunjukkan di bawah ini:
Apr 4 17:05:12 htf sshd[4287]: Failed password for root from 108.61.157.25 port 23121 ssh2
Apr 4 17:05:15 htf sshd[3154]: Failed password for root from 108.61.157.25 port 14486 ssh2
Apr 4 17:05:16 htf sshd[3154]: Failed password for root from 108.61.157.25 port 24157 ssh2
Apr 4 17:05:18 htf sshd[3154]: Failed password for root from 108.61.157.25 port 24157 ssh2
Memeriksa IP yang diblokir oleh Fail2Ban
Perintah berikut digunakan untuk mendapatkan daftar alamat IP terlarang yang dikenali sebagai ancaman brute force.
iptables -L -n
Periksa Status Fal2Ban
Gunakan perintah berikut untuk memeriksa status jail Fail2Ban:
fail2ban-client status
Hasilnya harus seperti ini:
[[email protected] ]# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
Membatalkan pemblokiran alamat IP
Untuk menghapus alamat IP dari daftar terlarang, parameter IPADDRESS disetel ke IP yang sesuai yang perlu dibatalkan pemblokirannya. Nama "sshd" adalah nama jailnya, dalam hal ini jail "sshd" yang kita konfigurasikan di atas. Perintah berikut melakukan tugasnya.
fail2ban-client set sshd unbanip IPADDRESS