Fail2ban เป็นโปรแกรมตรวจสอบ log files และปิดกั้นการเชื่อมต่อจาก IP ที่ล็อกอินผิดหลายๆครั้ง โดยสนับสนุน Service หลายตัวเช่น apache, vsftpd, proftpd, postfix, courier smtp, named (DNS),ssl
หลักการทำงานมีดังนี้
โปรแกรม Fail2ban จะตรวจสอบ Log Files เป็นระยะ ว่ามี IP ที่ล๊อคอินเข้าระบบแล้ว Fail ติดๆกัน ครบตามจำนวนที่ตั้งไว้ในไฟล์คอนฟิกหรือไม่ ถ้ามีจะแบน IP หมายเลขนั้นโดยไปกำหนดที่ iptable ให้ Block IP Address เมื่อแบน IP ครบตามกำหนดเวลาที่ตั้งไว้ในไฟล์คอนฟิก Fail2ban จะไปแก้ไข iptable ให้ IP Address นั้นสามารถใช้งานได้ตามเดิม
การ Config สามารถเข้าไปแก้ไขไฟล์ /etc/fail2ban/jail.conf ได้ดังนี้
[DEFAULT]
ignoreip = 127.0.0.1 //กำหนด IP Address ที่ไม่มีการ Ban
bantime = 600 //กำหนดเวลา Ban IP 600 วินาที
maxretry = 3 //กำหนดจำนวนครั้งของการล๊อคอินที่ผิดพลาด
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=fail2ban@thaicyberu.go.th]
logpath = /var/log/secure
maxretry = 3
//Fail2ban สามารถตรวจสอบ Process ของโปรแกรมอื่นได้ด้วย ถ้าต้องการให้ตรวจสอบโปรแกรมใดให้ตั้งค่า enabled = true ตรงโปรแกรมนั้น ตัวอย่างเช่น
[proftpd-iptables] //ตัวอย่างการกำหนดให้ Fail2ban ตรวจสอบ Service Proftpd
enabled = true
filter = proftpd
action = iptables[name=ProFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=ProFTPD, dest=root, sender=fail2ban@thaicyberu.go.th]
logpath = /var/log/secure
maxretry = 3
ไม่มีความคิดเห็น:
แสดงความคิดเห็น