วันอาทิตย์ที่ 3 เมษายน พ.ศ. 2554

ติดตั้ง Fail2ban บน Ubuntu Server 10.04 LTS

ติดตั้ง Fail2ban บน Ubuntu Server 10.04 LTS
Fail2ban เป็นโปรแกรมตรวจสอบ log files และแบน IP ที่ล็อกอินผิดหลายๆครั้ง โดยสนับสนุน Service หลายตัวเช่น apache, vsftpd, proftpd, postfix, couriersmtp, named (DNS),ssl เป็นต้น
มีหลักการทำงานดังนี้ โปรแกรม Fail2ban จะตรวจสอบ Log Files เป็นระยะ ว่ามี IP ที่ล๊อคอินเข้าระบบแล้ว Fail ติดๆกัน ครบตามจำนวนที่ตั้งไว้ในไฟล์คอนฟิก จะแบน IP หมายเลขนั้นโดยไปกำหนดที่ iptable ให้ Block IP Address   เมื่อแบน IP ครบตามกำหนดเวลาที่ตั้งไว้ในไฟล์คอนฟิก Fail2ban จะไปแก้ไข iptable  ให้ IP Address นั้นสามารถใช้งานได้ตามเดิม
ใช้คำสั่ง
Apt-get install fail2ban

ต่อไปทำการแก้ไขโดยใช้คำสั่ง
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local

ต่อไปทำการแก้ไขข้อความภายใน
[ssh-ddos]
Enabled = true
Port = ssh
Filter = sshd-ddos
Logpath = /var/log/auth.log
Maxrety = 3
ได้ทำการแก้ไขให้กับ apache, vsftpd, proftpd, postfix เป็นต้น


ทำการบันทึกแล้วออกจากการแก้ไข

จากนั้นทำการ restart fail2ban
ตรวจสอบการทำงานของ fail2ban
tail /var/log/fail2ban.log

ตรวจสอบ IP ที่ถูกแบน
iptables  -n  -L
จากนั้นระบุ IP ที่ต้องการยกเลิกแบนไอพี โดยใช้คำสั่ง
iptables -D fail2ban-ssh -s “ใส่หมายเลข IP ที่ถูกแบน -j DROP

3 ความคิดเห็น:

  1. ในทีสุดก็เสร็จแล้วมีไรช่วยบอกด้วยน่ะ อิอิ

    ตอบลบ
  2. ขอเอาไปลองนะครับ

    ตอบลบ
  3. ได้เลยครับเป็นไงบอกด้วยน่ะจะได้แก้ไขครับ

    ตอบลบ