Coretan Si Untung

Belajar Yang Terbaik adalah Mengajarkan

Kamis, 25 September 2014

Konfigurasi Fail2ban SSH di Debian

On 04.32 by Unknown in , , , ,    2 comments


Iseng malem-malem ngerjain tugas buat kemanan SSH gak sengaja ketemu sama nih software , karena perintah dari guru ane akhirnya ane posting di blog , sebenernya ane gak suka ngeblog gan tapi karena tugas dari guru ane akhirnya mau gak mau ane jadi rajin ngeblog :'( ,
Wkkwkwk maaf jadi curhat , oke kembali ke materi postingan. Kali ini saya akan sedikit menjelaskan tentang konfigurasi Fail2ban untuk kemanan SSH di debian dan keturunannya.

Fail2ban adalah salah satu software open source yang digunakan untuk mencegah bruteforce login
untuk keterangan brute force silahkan di gugling aja :D. Jadi Fail2ban ini berguna sebagai keamanan SSH terhadap brute force attack .

Oke tanpa basa-basi langsung aja ke langkah konfigurasinya

1. Login sebagai root di debian anda

2. Kemudian install paket fail2ban dengan perintah apt-get install fail2ban

3. Lalu kita copy file jail.conf ke file jail.local


4. Kemudian edit file jail.local nya , ketikkan perintah nano /etc/fail2ban/jail.local

5. Setelah itu cari syntaks [DEFAULT] seperti gambar dibawah , kemudian rubah menjadi seperti gambar berikutnya .

DARI SEPERTI INI :

MENJADI SEPERTI INI :

KETERANGAN :

  • ignoreip: IP yang akan di masukkan ke list Jail , jadi fail2ban akan mengabaikan IP yang ada di dalam ignore ip , masukkan ip network anda di ignoreip ini. 
  • bantime : lama nya waktu sebuah ip terbanned ketika menggunakan bruteforce attack atau ketika salah login sebanyak maxretry
  • maxretry : banyaknya percobaan login sebelum ip tersebut di ban
6. Kemudian cari juga syntak [ssh] seperti gambar dibawah kemudian edit seperti gambar berikutnya

DARI SEPERTI INI :

MENJADI SEPERTI INI :

KETERANGAN :
  • Enabled : Bagian ini merujuk bahwa perlindungan SSH aktif.
  • Filter : Bagian ini secara default diatur ke sshd dan mengacu file konfigurasi /etc/fail2ban/filter.d/sshd.conf yang berisi aturan-aturan fail2ban
  • Action : Bagian ini digunakan untuk melarang alamat IP yang cocok di file /etc/fail2ban/action.d/iptables.conf. Jika server sobat memiliki setup mail, Anda dapat menambahkan alamat email, di mana fail2ban mengirimkan sobat sebuah email pemberitahuan setiap kali membanned alamat IP. Kemudian di kirim ke file /etc/fail2ban/action.d/sendmail-whois.conf.
  • LogPath : Lokasi di mana log fail2ban akan melacak.
  • Maxretry : Banyaknya percobaan login sebelum di ban
7. Setelah itu kita restart file2ban , ketikkan perintah /etc/init.d/fail2ban restart


8. Untuk mengecek apakah konfigurasi sudah berhasil atau belum kita liat iptables-nya , ketikkan perintah iptables -L , disana akan muncul iptables dari fail2ban


Atau bisa juga dengan menuliskan perintah fail2ban-client ping , jika reply nya adalah pong maka tandanya sudah berhasil.


9. Kemudian untuk melihat ssh login berikut dengan ip yang gagal login ssh ketikkan perintah cat /var/log/auth.log 


Dan ini lah log yang berjalan , bisa dilihat ip yang gagal login di ssh

Untuk melihat IP yang disudah ter-ban bisa dilihat di iptables -L , di paling bawah terlihat ip yang sudah di DROP 




Oke sekian dulu basa-basi sedikit tentang fail2ban untuk kemanan SSH di debian , 
Semoga bisa bermanfaat untuk yang membaca , Amiin
Sampai ketemu di postingan berikutnya vroooh :D

2 komentar:

Langganan: Posting Komentar (Atom)