Hướng dẫn cài đặt sử dụng Fail2ban để ngăn chặn Brute Force

Fail2ban là một công cụ mạnh mẽ để bảo vệ máy chủ của bạn khỏi tấn công Brute Force và các cuộc tấn công trực tuyến khác bằng cách tự động chặn các địa chỉ IP cố gắng đăng nhập sai quá nhiều lần vào hệ thống của bạn.
Dưới đây là hướng dẫn cơ bản về cách cài đặt và sử dụng Fail2ban trên một máy chủ Linux.

  1. Bước 1: Cài đặt Fail2ban
    Đầu tiên, chúng ta cần cài đặt Fail2ban trên máy chủ của mình. Sử dụng lệnh sau trên hệ thống Ubuntu hoặc CentOS:

    • Trên Ubuntu:
      sudo apt-get update
      sudo apt-get install fail2ban
    • Trên CentOS:
      sudo yum install epel-release
      sudo yum install fail2ban
  2. Bước 2: Cấu hình Fail2ban
    • Cấu hình Fail2ban tùy thuộc vào ứng dụng bạn muốn bảo vệ. Mỗi ứng dụng có một cấu hình riêng trong các tệp cấu hình của Fail2ban, thường được đặt trong thư mục /etc/fail2ban/jail.d/
    • File cấu hình thường có dạng *.conf. Bạn có thể tạo một tệp cấu hình riêng cho ứng dụng mục tiêu của bạn hoặc chỉnh sửa tệp /etc/fail2ban/jail.d/defaults-debian.conf để sử dụng các cài đặt mặc định.
    • Để cấu hình fail2ban để bảo vệ kết nối SSH, tạo file cấu hình:
      vi /etc/fail2ban/jail.d/myapp.conf
      Với nội dung như sau:

      [ssh]
      enabled = true
      port = ssh
      filter = sshd
      logpath = /var/log/auth.log
      maxretry = 3
      bantime = 3600

      Trong đó:

      • enabled : Đặt thành true để kích hoạt cấu hình.
      • port : Cổng mà bạn muốn theo dõi (vd: SSH port là ssh).
      • filter : Loại bộ lọc sử dụng (vd: ssh cho SSH).
      • logpath : Đường dẫn đến tệp nhật ký.
      • maxretry : Số lần thử đăng nhập sai trước khi IP bị chặn.
      • bantime : Thời gian ban IP sau khi vượt quá maxretry lần.
  3. Bước 3: Khởi động và kiểm tra Fail2ban
    • Khởi động Fail2ban và cho phép nó tự động chạy khi hệ thống khởi động:
      sudo systemctl start fail2ban
      sudo systemctl enable fail2ban
    • Sử dụng lệnh sau để kiểm tra trạng thái Fail2ban và xem danh sách các IP bị chặn:
      sudo fail2ban-client status
  4. Bước 4: Tùy chỉnh và theo dõi
    Bạn có thể tùy chỉnh nhiều cài đặt khác nhau trong tệp cấu hình và theo dõi Fail2ban để đảm bảo nó hoạt động đúng cách.

Đó là cách sử dụng Fail2ban để bảo vệ máy chủ của bạn khỏi tấn công Brute Force. Chúc bạn thành công!