Cara Mengatur Fail2ban pada Debian 9

• Prasyarat
• Langkah 1: Perbarui sistem
• Langkah 2: Ubah port SSH (Opsional)
• Langkah 3: Instal dan konfigurasikan fail2ban untuk melindungi SSH

Fail2ban, seperti namanya, adalah utilitas yang dirancang untuk membantu melindungi mesin Linux dari serangan brute-force pada beberapa port terbuka, terutama port SSH. Demi fungsionalitas dan manajemen sistem, port ini tidak dapat ditutup menggunakan firewall. Di bawah keadaan ini, itu ide yang baik untuk menggunakan Fail2ban sebagai langkah keamanan tambahan untuk firewall untuk membatasi lalu lintas serangan brute-force pada port-port ini.

Pada artikel ini, saya akan menunjukkan kepada Anda cara menginstal dan mengkonfigurasi Fail2ban untuk melindungi port SSH, target serangan paling umum, pada instance server Vultr Debian 9.

Prasyarat

• Contoh server Debian 9 (Peregangan) x64 yang baru.
• Masuk sebagai root.
• Semua port yang tidak digunakan telah diblokir dengan aturan IPTables yang tepat.

Langkah 1: Perbarui sistem

apt update && apt upgrade -y
shutdown -r now

Setelah sistem dinyalakan, masuk kembali sebagai root.

Langkah 2: Ubah port SSH (Opsional)

Karena nomor port SSH standar 22terlalu populer untuk diabaikan, mengubahnya menjadi nomor port yang kurang dikenal, katakanlah 38752akan menjadi keputusan yang cerdas.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Setelah modifikasi, Anda perlu memperbarui aturan IPTables yang sesuai:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Simpan aturan IPTables yang diperbarui ke file untuk tujuan kegigihan:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Dengan cara ini, aturan IPTables akan tetap ada bahkan setelah sistem reboot. Mulai sekarang, Anda harus masuk dari 38752pelabuhan.

Langkah 3: Instal dan konfigurasikan fail2ban untuk melindungi SSH

Gunakan aptuntuk menginstal versi stabil Fail2ban yang saat ini 0.9.x:

apt install fail2ban -y

Setelah instalasi, layanan Fail2ban akan mulai secara otomatis. Anda dapat menggunakan perintah berikut untuk menunjukkan statusnya:

service fail2ban status

Pada Debian, pengaturan default filter Fail2ban akan disimpan di /etc/fail2ban/jail.conffile dan /etc/fail2ban/jail.d/defaults-debian.conffile. Ingatlah bahwa pengaturan pada file terakhir akan menimpa pengaturan yang sesuai di yang sebelumnya.

Gunakan perintah berikut untuk melihat detail lebih lanjut:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Untuk informasi Anda, cuplikan kode tentang SSH tercantum di bawah ini:

Dalam /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Dalam /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Karena konten dalam dua file konfigurasi di atas mungkin berubah di pembaruan sistem di masa mendatang, Anda harus membuat file konfigurasi lokal untuk menyimpan aturan filter fail2ban Anda sendiri. Sekali lagi, pengaturan dalam file ini akan menggantikan pengaturan yang sesuai dalam dua file yang disebutkan di atas.

vi /etc/fail2ban/jail.d/jail-debian.local

Masukkan baris berikut:

[sshd]
port = 38752
maxentry = 3

Catatan: Pastikan untuk menggunakan port SSH Anda sendiri. Kecuali portdan maxentrydisebutkan di atas, semua pengaturan lain akan menggunakan nilai default.

Simpan dan keluar:

:wq

Mulai ulang layanan Fail2ban untuk memuat konfigurasi baru:

service fail2ban restart

Pengaturan kami selesai. Mulai sekarang, jika mesin apa pun mengirimkan kredensial SSH yang salah ke port SSH khusus server Debian ( 38752) lebih dari tiga kali, IP mesin yang berpotensi berbahaya ini akan diblokir selama 600 detik.