1. Cài đặt VPS FAIL2BAN
Đối với VPS Fail2Ban là phần mềm được tạo riêng để bảo vệ máy chủ của bạn bằng cách nhận dạng các mẫu có thể giống như một cuộc tấn công, trên các dịch vụ và máy chủ của bạn. Nếu cuộc tấn công đang diễn ra, phần mềm sẽ cấm IP gốc. Một cuộc tấn công đang hoạt động có thể được ghi nhận là các nỗ lực đăng nhập vào máy chủ của bạn liên tục không thành công thông qua giao thức SSH, sử dụng tên người dùng và mật khẩu khác nhau. Bây giờ, hãy xem quá trình cài đặt Fail2Ban trên Ubuntu 16.04 theo từng bước:
Để cài đặt công cụ bảo vệ trên Debian / Ubuntu, bạn sẽ cần chạy các lệnh sau:
sudo apt-get update
sudo apt-get install fail2ban -y
Sau khi cài đặt, bạn có thể tìm thấy tệp cấu hình mặc định được cài đặt tại /etc/fail2ban/jail.conf. Để phần mềm phù hợp với môi trường của bạn, bạn sẽ cần chỉnh sửa tệp này. Hơn nữa, bạn sẽ cần phải thiết lập riêng các dịch vụ mà máy chủ của bạn đang chạy bằng cách khám phá danh sách, mỗi dịch vụ sẽ có phần riêng.
2. Định cấu hình Fal2Ban
Để mở và định cấu hình tệp, bạn sẽ cần chạy các lệnh sau:
sudo get-apt install nano
sudo nano /etc/fail2ban/jail.conf
Giao thức SSH được bảo vệ và kích hoạt theo mặc định. Nếu bạn không áp dụng thêm bất kỳ thay đổi nào, bất kỳ ai cố gắng cưỡng bức trang web của bạn sẽ bị hết thời gian chờ hoặc bị cấm sau 6 lần thử. Vì các cổng giao thức mặc định được bảo vệ bởi Fail2Ban, bất kỳ dịch vụ nào được định cấu hình trên máy chủ của bạn để sử dụng các cổng không chuẩn sẽ phải được chỉ định với số cổng mới cho dịch vụ.
Giả sử, bạn thay đổi số cổng của mình từ 33 thành 3333. Điều này sẽ cần được xác định trong cấu hình:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Tất cả các dịch vụ khác, mặc dù đã được định cấu hình, vẫn chưa được kích hoạt. Bạn có thể cho biết điều này bằng giá trị sai trong trạng thái đã bật. Để thay đổi điều đó, chỉ cần hoán đổi giá trị thành true.
Giải thích về cấu hình như sau:
• Enabled – Fail2Ban có thể giám sát máy chủ.
• Port- số cổng của dịch vụ được giám sát. Nếu được thay đổi thành một cái gì đó khác với một cổng tiêu chuẩn, nó phải được chỉ định trong cấu hình.
• Filter – quy tắc và danh sách chuỗi mà Fail2Ban sử dụng để xác định xem một dịch vụ cụ thể có bị tấn công hay không.
• Logpath – theo mặc định là tệp auth.log nơi tất cả các nhật ký được khôi phục. Nếu thay đổi, điều này cũng phải được chỉ định trong cấu hình.