Hướng dẫn cài đặt và cấu hình fail2ban trên Ubuntu

Fail2Ban là công cụ bảo mật mã nguồn mở giúp ngăn chặn các cuộc tấn công brute force bằng cách tự động chặn IP đăng nhập sai nhiều lần. Trong bài viết này, bạn sẽ được hướng dẫn cài đặt và cấu hình fail2ban trên Ubuntu, giúp tăng cường bảo mật, giảm nguy cơ xâm nhập trái phép và bảo vệ hệ thống server hiệu quả hơn.

Fail2ban là gì?

Fail2ban là một phần mềm mở nguồn (open-source) được sử dụng để bảo vệ hệ thống máy chủ khỏi các cuộc tấn công từ mạng bằng cách tự động chặn các địa chỉ IP gây ra các hành vi không mong muốn như đăng nhập không chính xác hoặc tấn công từ chối dịch vụ (DoS). Fail2ban hoạt động dựa trên việc theo dõi các log file của hệ thống và áp dụng các quy tắc được cấu hình trước để ngăn chặn các địa chỉ IP độc hại. Điều này giúp cải thiện bảo mật của hệ thống và giảm thiểu rủi ro tấn công mạng.

1. Cài đặt Fail2ban trên server Ubuntu

Để cài đặt Fail2ban trên server Ubuntu, chúng ta cần thực hiện các bước sau:

Bước 1: Mở terminal trên server Ubuntu.

Bước 2: Cập nhật danh sách gói phần mềm bằng lệnh:

sudo apt update

Bước 3: Cài đặt Fail2ban bằng lệnh:

sudo apt install fail2ban

Sau khi quá trình cài đặt hoàn tất, Fail2ban sẽ được cài đặt và sẵn sàng sử dụng trên server Ubuntu.

2. Cấu hình Fail2ban để ngăn chặn SSH trái phép

Để cấu hình Fail2ban để ngăn chặn các đăng nhập SSH trái phép, chúng ta cần thực hiện các bước sau:

Bước 1: Mở tệp cấu hình của Fail2ban bằng trình soạn thảo văn bản, ví dụ:

sudo nano /etc/fail2ban/jail.local

Bước 2: Thêm cấu hình sau vào tệp jail.local để áp dụng quy tắc ngăn chặn SSH:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 600
bantime = 3600

Trong đó:

• enabled: Cho phép hoặc vô hiệu hóa quy tắc ngăn chặn.

• port: Cổng sử dụng để kết nối SSH (mặc định là 22).

• filter: Định nghĩa loại log mà Fail2ban sẽ theo dõi.

• logpath: Đường dẫn đến tệp log của SSH.

• maxretry: Số lần thử đăng nhập không thành công trước khi chặn địa chỉ IP.

• findtime: Thời gian (giây) quy định cửa sổ quan sát cho việc đếm số lần thử đăng nhập.

• bantime: Thời gian (giây) mà địa chỉ IP sẽ bị chặn sau khi vượt quá số lần thử.

Bước 3: Lưu các thay đổi và khởi động lại Fail2ban để áp dụng cấu hình mới:

sudo systemctl restart fail2ban

3. Theo dõi hoạt động

Fail2ban cung cấp các công cụ để theo dõi hoạt động và kiểm tra trạng thái của các quy tắc ngăn chặn. Chúng ta có thể sử dụng các lệnh sau để kiểm tra:

• Kiểm tra trạng thái của tất cả các quy tắc:

sudo fail2ban-client status

• Xem chi tiết về một quy tắc cụ thể, ví dụ SSH:

sudo fail2ban-client status sshd

4. Remove IP ra khỏi Block List

Đôi khi chúng ta cần gỡ bỏ một địa chỉ IP khỏi danh sách chặn của Fail2ban. Để thực hiện điều này, chúng ta sử dụng lệnh sau:

sudo fail2ban-client set sshd unbanip <địa chỉ IP>

Nếu muốn gỡ bỏ một địa chỉ IP khỏi toàn bộ danh sách chặn của Fail2ban, chúng ta có thể sử dụng lệnh sau:

sudo fail2ban-client unban --all

Kết luận

Trên đây là hướng dẫn cài đặt và cấu hình Fail2ban trên server Ubuntu để bảo vệ hệ thống khỏi các cuộc tấn công từ mạng. Qua bài viết này, bạn đã hiểu được cách thức hoạt động của Fail2ban, cài đặt và cấu hình cơ bản để bắt đầu sử dụng phần mềm này. Để tăng cường bảo mật hệ thống, hãy kết hợp sử dụng Fail2ban với các biện pháp bảo mật khác như cập nhật hệ thống định kỳ và sử dụng mật khẩu mạnh.