Cara install dan Konfigurasi Fail2ban

By Omar 1 year ago / In Tutorial

Panduan cara install dan konfigurasi Fail2ban di Linux. Firewall dan Fail2ban sangat direkomendasikan untuk meningkatkan keamanan server.

Cara kerjanya siapa saja (IP) yang mencoba mengakses ke server akan diblokir apabila terindikasi flooding dan masalah autentikasi, jika melebihi batas percobaan (maxretry) yang telah ditetapkan di dalam aturan yang telah dibuat. Berikut tutorial.

Install Fail2ban

Untuk CentOS

yum install epel-release fail2ban -y

Untuk Debian/Ubuntu

apt install fail2ban

Start Fail2ban

systemctl start fail2ban
systemctl enable fail2ban

Konfigurasi Fail2ban

Buat konfigurasi berdasarkan aturan dasar fail2ban yang telah ada

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Kemudian

nano /etc/fail2ban/fail2ban.local

Edit LogLevel menjadi ERROR

Membuat file untuk mengaktifkan aturan Fail2ban

Membuat file jail.local, file ini akan dideteksi oleh Fail2ban sebagai konfigurasi jail yang di dalamnya akan kita atur sesuai kebutuhan, jika status enabled = true.

nano /etc/fail2ban/jail.local

Kemudian, di dalam file jail.local tambahkan baris berikut untuk mengaktifkan aturan.

Perhatian: Ambil yang perlu saja, misalnya kalau pakai Nginx, aturan Apachenya tidak perlu.

Aktifkan aturan untuk proteksi SSH

Contoh pengaturan Fail2ban untuk SSH

[sshd]
enable = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 1h
ignoreip = 127.0.0.1/8

Keterangan:

  • filter = sshd (link ke file pengaturan /etc/fail2ban/filter.d/sshd.conf)
  • maxretry = jika ada yang mencoba login SSH dan gagal sebanyak 5 kali akan dibanned selama 1 jam ke depan (bantime = 1h). Waktu banned bisa dalam satuan detik (tanpa akhiran satuan), menit (m) dan jam (h) dimana ketiganya saya contohkan di bawah ini:
  • ignoreip = bisa ditambah sendiri (whitelist), IP, SUBNET maupun DNS contoh: 127.0.0.1/8 192.168.2.3 1.1.1.1 dan seterusnya.

Aktifkan aturan untuk Apache

Kalau Debian dan Ubuntu logpathnya /var/log/apache2/, berhubung saya pakai CentOS jadi /var/log/httpd, silahkan disesuaikan.

[apache]
enabled = true
port = http, https
filter = apache-auth
logpath = /var/log/httpd/error.log
maxretry = 5
bantime = 30m
[apache-overflows]
enabled = true
port = http, https
filter = apache-overflows
logpath = /var/log/httpd/error.log
maxretry = 5
bantime = 30m
[apache-noscript]
enabled = true
port = http, https
filter = apache-noscript
logpath = /var/log/httpd/error.log
maxretry = 5
bantime = 30m
[apache-badbots]
enabled = true
port = http, https
filter = apache-badbots
logpath = /var/log/httpd/error.log
maxretry = 5
bantime = 30m

Aktifkan aturan untuk Nginx

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log
maxretry = 5
bantime = 30m
[nginx-badbots]
enabled = true
filter = nginx-badbots
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 5
bantime = 30m
[nginx-noscript]
enabled = true
filter = nginx-noscript
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 5
bantime = 600
[nginx-noproxy]
enabled = true
filter = nginx-noproxy
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 5
bantime = 600

Untuk Nginx, selain nginx-http-auth file konfigurasi Nginx lainnya belum ada, maka harus dibuat terlebih dahulu di dalam direktori /etc/fail2ban/filter.d

Konfigurasi nginx-noscript

nano /etc/fail2ban/filter.d/nginx-noscript.conf

Isi baris berikut

[Definition]
failregex = ^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\.scgi)
ignoreregex =

Konfigurasi nginx-noproxy

nano /etc/fail2ban/filter.d/nginx-noproxy.conf

Isi baris berikut

[Definition]
failregex = ^<HOST> -.*GET http.*
ignoreregex =

File konfigurasi untuk nginx-badbots, bisa mencontoh dari apache-badbots

cp /etc/fail2ban/filter.d/apache-badbots.conf /etc/fail2ban/filter.d/nginx-badbots.conf

Aktifkan aturan untuk WordPress

Setiap log virtual host biasanya berbeda-beda, harus diarahkan ke path yang tepat (bisa wildcard)

Tambahkan baris berikut ke file /etc/fail2ban/jail.local

[wordpress]
enabled = true
filter = wordpress
port = http,https
logpath = /var/log/nginx/access*.log
maxretry = 5
bantime = 1h

File konfigurasi Fail2ban untuk [wordpress]

nano /etc/fail2ban/filter.d/wordpress.conf

Isi baris berikut

[Definition]
failregex = <HOST> - - \[(\d{2})/\w{3}/\d{4}:\1:\1:\1 - \d{4}\] "Post /wp-login.php HTTP/1.1" 200
ignoreregex =

Simpan.

Catatan:

  • Di semua aturan bisa ditambahkan pengecualian, misalnya IP kita sendiri (ignnoreip = IPnya)
  • Semua konfigurasi aturan umum Fail2ban sebenarnya sudah siap, hanya saja belum diaktifkan, bisa dicek di direktori /etc/fail2ban/filter.d
  • Tambahan: HTTP DOS dan Nginx DOS

Restart Fail2ban

systemctl restart fail2ban

Cek status Fail2ban

fail2ban-client status

Daftar perintahnya bisa dilihat di man fail2ban-client

Cek list banned IP

Misalnya melihat IP apa saja yang diblokir di SSH

fail2ban-client status sshd

Cara Unban client Fail2ban

Misalnya ada user yang mencoba login SSH dan masuk list banned

fail2ban-client set sshd unbanip IP-CLIENT

Stop Fail2ban

systemctl stop fail2ban

Selesai, semoga bermanfaat.

Butuh setup firewall dan Fail2ban? kontak 0812-3500-8433 (WA)

Dokumentasi detailnya cek: fail2ban.org

Add a comment

+6281235008433
Hubungi kami melalui WhatsApp
KontakMetode pembayaran

Exit mobile version