Chuyển tới nội dung chính

Thiết Lập Fail2ban Từ Cơ Bản Đến Nâng Cao

Giới Thiệu

Fail2ban là một công cụ bảo mật mạnh mẽ được sử dụng để bảo vệ máy chủ Linux khỏi các cuộc tấn công brute-force và các hành vi độc hại khác. Nó hoạt động bằng cách quét các tệp nhật ký (log files) của máy chủ (ví dụ: log của SSH, Apache, Nginx, Postfix, v.v.) và tự động cấm (ban) các địa chỉ IP hiển thị dấu hiệu của các cuộc tấn công, chẳng hạn như quá nhiều lần đăng nhập sai mật khẩu. Việc này giúp giảm tải cho máy chủ và tăng cường đáng kể an ninh tổng thể.

Trong hướng dẫn này, chúng ta sẽ đi từ việc cài đặt Fail2ban cho đến cấu hình các jail cơ bản và nâng cao, đảm bảo máy chủ của bạn được bảo vệ hiệu quả.

📋 Thời gian: 25 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần:

  • Một máy chủ Linux (Ubuntu/Debian hoặc CentOS/RHEL).
  • Quyền truy cập sudo hoặc quyền root.
  • Kiến thức cơ bản về dòng lệnh Linux và chỉnh sửa tệp văn bản.
  • Kết nối internet để tải xuống các gói cài đặt.

Các Bước Thực Hiện

Bước 1: Cài đặt Fail2ban

Đầu tiên, chúng ta cần cài đặt Fail2ban trên máy chủ của bạn.

Trên Ubuntu/Debian:

# Cập nhật danh sách gói
sudo apt update

# Cài đặt Fail2ban
sudo apt install fail2ban -y

# Bật và khởi động dịch vụ Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Kiểm tra trạng thái của Fail2ban
sudo systemctl status fail2ban

Trên CentOS/RHEL:

# Cập nhật hệ thống
sudo yum update -y # Hoặc dnf update -y cho CentOS 8 trở lên

# Cài đặt EPEL repository (cần thiết cho Fail2ban)
sudo yum install epel-release -y # Hoặc dnf install epel-release -y

# Cài đặt Fail2ban
sudo yum install fail2ban -y # Hoặc dnf install fail2ban -y

# Bật và khởi động dịch vụ Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Kiểm tra trạng thái của Fail2ban
sudo systemctl status fail2ban

✅ Sau khi cài đặt, bạn sẽ thấy trạng thái active (running).

Bước 2: Cấu hình cơ bản với jail.local

Fail2ban sử dụng tệp cấu hình chính là /etc/fail2ban/jail.conf. Tuy nhiên, KHÔNG NÊN chỉnh sửa trực tiếp tệp này vì các thay đổi có thể bị ghi đè khi cập nhật Fail2ban. Thay vào đó, chúng ta sẽ tạo một bản sao cục bộ có tên jail.local và thực hiện các thay đổi ở đó.

# Sao chép tệp cấu hình mặc định sang jail.local
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

# Mở tệp jail.local để chỉnh sửa
sudo nano /etc/fail2ban/jail.local

Trong tệp jail.local, bạn sẽ tìm thấy phần [DEFAULT]. Đây là nơi bạn có thể đặt các cài đặt chung áp dụng cho tất cả các jail trừ khi bị ghi đư bởi cấu hình jail cụ thể.

Các thông số quan trọng cần cấu hình:

  • ignoreip: Danh sách các địa chỉ IP hoặc dải IP mà Fail2ban sẽ không bao giờ cấm. Hãy thêm IP tĩnh của bạn hoặc mạng nội bộ vào đây để tránh bị khóa.
  • bantime: Thời gian (tính bằng giây) mà một IP bị cấm. Mặc định là 10 phút (600 giây).
  • findtime: Khoảng thời gian (tính bằng giây) mà Fail2ban sẽ kiểm tra các lần thử không thành công. Nếu một IP thực hiện maxretry lần thử trong khoảng thời gian findtime, nó sẽ bị cấm. Mặc định là 10 phút (600 giây).
  • maxretry: Số lần thử không thành công tối đa trước khi một IP bị cấm. Mặc định là 5.

Ví dụ cấu hình [DEFAULT]:

[DEFAULT]
# IP của bạn hoặc mạng nội bộ, cách nhau bởi dấu cách
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 203.0.113.42 

# Thời gian cấm (tính bằng giây), ví dụ 1 giờ
bantime  = 3600

# Thời gian tìm kiếm lỗi (tính bằng giây), ví dụ 10 phút
findtime  = 600

# Số lần thử tối đa trước khi bị cấm
maxretry = 5

# Hành động mặc định: chặn IP bằng iptables và gửi email (nếu cấu hình)
# action = %(action_overall)s

💡 Mẹo: Để có hiệu quả tốt hơn, bạn có thể tăng bantime lên vài giờ hoặc thậm chí một ngày (86400 giây) đối với các dịch vụ quan trọng như SSH.

Bước 3: Kích hoạt và cấu hình Jail

Fail2ban đi kèm với nhiều "jail" được định nghĩa sẵn cho các dịch vụ phổ biến như SSH, Apache, Nginx, Postfix, v.v. Để bảo vệ một dịch vụ, bạn cần kích hoạt jail tương ứng.

Kéo xuống cuối tệp jail.local, bạn sẽ thấy các phần [jail_name].

Kích hoạt Jail SSH: Jail SSH là một trong những jail quan trọng nhất. Hãy tìm phần [sshd] và đảm bảo nó được bật (enabled = true).

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = %(sshd_log)s
maxretry = 3 # Giảm số lần thử cho SSH để tăng cường bảo mật
bantime = 1d # Cấm trong 1 ngày cho SSH

⚠️ Lưu ý: Nếu bạn thay đổi cổng SSH mặc định (22) sang một cổng khác, hãy cập nhật giá trị port trong cấu hình [sshd] (ví dụ: port = 2222).

Kích hoạt các Jail khác (ví dụ: Nginx, Apache): Nếu bạn đang chạy máy chủ web, bạn cũng nên kích hoạt các jail tương ứng.

Ví dụ cho Nginx:

[nginx-http-auth]
enabled = true
port    = http,https
logpath = /var/log/nginx/error.log # hoặc access.log tùy cấu hình

[nginx-badbots]
enabled = true
port    = http,https
logpath = /var/log/nginx/access.log

Ví dụ cho Apache:

[apache-auth]
enabled = true
port    = http,https
logpath = %(apache_error_log)s

[apache-noscript]
enabled = true
port    = http,https
logpath = %(apache_error_log)s

Sau khi thực hiện các thay đổi, hãy lưu tệp jail.local và thoát trình soạn thảo.

Bước 4: Khởi động lại và Kiểm tra Fail2ban

Để các thay đổi có hiệu lực, bạn cần khởi động lại dịch vụ Fail2ban.

# Khởi động lại dịch vụ Fail2ban
sudo systemctl restart fail2ban

Để kiểm tra trạng thái chung của Fail2ban và xem các jail nào đang hoạt động, sử dụng lệnh fail2ban-client status:

sudo fail2ban-client status

Bạn sẽ thấy danh sách các jail đang chạy, ví dụ:

Status
|- Number of jail:      2
`- Jail list:   sshd, nginx-http-auth

Để xem chi tiết trạng thái của một jail cụ thể (ví dụ: sshd), bao gồm các IP đang bị cấm:

sudo fail2ban-client status sshd

✅ Nếu mọi thứ được cấu hình đúng, bạn sẽ thấy thông tin về jail, bao gồm số lượng IP bư� cấm (nếu có).

Gỡ cấm một IP (Unban): Nếu bạn vô tình bị cấm hoặc cần gỡ cấm một IP cụ thể, bạn có thể sử dụng lệnh sau:

sudo fail2ban-client set sshd unbanip 192.0.2.1

Thay sshd bằng tên jail và 192.0.2.1 bằng địa chỉ IP cần gỡ cấm.

Troubleshooting

  • ⚠️ Fail2ban không chạy hoặc không khởi động được:

    • Kiểm tra log của Fail2ban: sudo cat /var/log/fail2ban.log. Tìm kiếm các thông báo lỗi.
    • Kiểm tra cú pháp của tệp cấu hình: sudo fail2ban-client -t. Lệnh này sẽ kiểm tra xem có lỗi cú pháp nào trong các tệp cấu hình của bạn không.
    • Đảm bảo bạn đã sao chép jail.conf sang jail.local và chỉnh sửa đúng tệp.

  • ⚠️ IP không bị cấm:

    • Đảm bảo jail tương ứng được enabled = true trong jail.local.
    • Kiểm tra logpath trong jail có đúng đường dẫn tới tệp log của dịch vụ không.
    • Kiểm tra xem filter có đúng không (thường là tên dịch vụ, ví dụ sshd).
    • Đảm bảo IP không nằm trong danh sách ignoreip.
    • Kiểm tra log của dịch vụ (ví dụ: /var/log/auth.log cho SSH) để xem các lần thử đăng nhập không thành công có được ghi lại không. Fail2ban chỉ có thể cấm nếu các sự kiện được ghi vào log.
    • Kiểm tra findtimemaxretry có quá cao không.

  • ⚠️ Lỗi cấu hình sau khi chỉnh sửa jail.local:

    • Luôn nhớ khởi động lại Fail2ban sau mỗi lần thay đổi cấu hình: sudo systemctl restart fail2ban.
    • Sử dụng fail2ban-client -t để kiểm tra lỗi cú pháp trước khi khởi động lại.

Kết Luận

Fail2ban là một công cụ không thể thiếu để bảo vệ máy chủ Linux khỏi các cuộc tấn công brute-force. Bằng cách làm theo hướng dẫn này, bạn đã cài đặt và cấu hình Fail2ban để tự động cấm các địa chỉ IP độc hại, giảm thiểu rủi ro bảo mật cho các dịch vụ của mình.

Best Practices:

  • Thường xuyên kiểm tra logs: Xem xét /var/log/fail2ban.log để hiểu cách Fail2ban hoạt động và điều chỉnh cấu hình nếu cần.
  • Điều chỉnh thông số: Không có cấu hình nào phù hợp với tất cả. Hãy điều chỉnh bantime, findtime, và maxretry dựa trên mức độ nghiêm trọng của các cuộc tấn công và yêu cầu của dịch vụ của bạn.
  • Kết hợp với Firewall: Fail2ban hoạt động t�ất nhất khi được kết hợp với một firewall như ufw hoặc firewalld để kiểm soát các cổng và dịch vụ được phép truy cập.
  • Sử dụng ignoreip cẩn thận: Chỉ thêm các IP đáng tin cậy vào danh sách này.
  • Sao lưu cấu hình: Luôn sao lưu tệp jail.local của bạn.

Chúc mừng! Máy chủ của bạn giờ đây đã được bảo vệ tốt hơn đáng kể.