Chuyển tới nội dung chính

Fail2ban Bảo Vệ MySQL và Database

Giới Thiệu

Trong thế giới kỹ thuật số ngày nay, bảo mật database là một yếu tố tối quan trọng. MySQL và MariaDB, là những hệ quản trị cơ sở dữ liệu phổ biến, thường xuyên trở thành mục tiêu của các cuộc tấn công brute-force, nơi kẻ tấn công cố gắng đoán mật khẩu bằng cách thử nhiều lần. Fail2ban là một công cụ mạnh mẽ giúp bạn chống lại những cuộc tấn công này bằng cách tự động chặn các địa chỉ IP có hành vi đáng ngờ.

Hướng dẫn này sẽ chỉ cho bạn cách cấu hình Fail2ban để giám sát các log của MySQL/MariaDB và tự động cấm các địa chỉ IP thực hiện quá nhiều lần đăng nhập không thành công, từ đó tăng cường đáng kể bảo mật cho database của bạn.

📋 Thời gian: 15 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện hướng dẫn này, bạn cần có:

  • Một máy chủ Linux (ví dụ: Ubuntu, CentOS) đang chạy MySQL hoặc MariaDB.
  • Quyền truy cập root hoặc sudo trên máy chủ.
  • Fail2ban đã được cài đặt (chúng ta sẽ hướng dẫn cài đặt nếu cần).
  • Hiểu biết cơ bản về dòng lệnh Linux.

Các Bước Thực Hiện

Bước 1: Cài đặt Fail2ban (Nếu chưa có)

Nếu Fail2ban chưa được cài đặt trên hệ thống của bạn, hãy thực hiện theo các lệnh sau:

Trên Debian/Ubuntu:

# Cập nhật danh sách gói
sudo apt update
# Cài đặt Fail2ban
sudo apt install fail2ban
# Bật và khởi động dịch vụ Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Trên CentOS/RHEL:

# Cập nhật danh sách gói
sudo yum update -y
# Cài đặt EPEL repository (cần thiết cho Fail2ban trên CentOS/RHEL cũ hơn)
sudo yum install epel-release -y
# Cài đặt Fail2ban
sudo yum install fail2ban -y
# Bật và khởi động dịch vụ Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

✅ Sau khi cài đặt, Fail2ban sẽ chạy ngầm.

Bước 2: Tìm Đường dẫn Log của MySQL/MariaDB

Fail2ban cần biết nơi MySQL/MariaDB ghi lại các lỗi đăng nhập. Đường dẫn này có thể khác nhau tùy thuộc vào phiên bản và cấu hình hệ điều hành của bạn.

💡 Mẹo: Cách tốt nhất để tìm đường dẫn log là kiểm tra file cấu hình MySQL/MariaDB của bạn.

# Tìm file cấu hình my.cnf/mariadb.cnf
# Thường nằm ở /etc/mysql/my.cnf, /etc/my.cnf, /etc/mysql/mariadb.cnf, hoặc /etc/mariadb/mariadb.cnf
sudo grep -r "log_error" /etc/mysql /etc/my.cnf /etc/mariadb 2>/dev/null

Bạn sẽ tìm kiếm dòng như log_error = /var/log/mysql/error.log hoặc log_error = /var/log/mysqld.log. Hãy ghi lại đường dẫn này. Nếu không tìm thấy, các đường dẫn phổ biến là /var/log/mysql/error.log (Ubuntu/Debian) hoặc /var/log/mysqld.log (CentOS/RHEL).

Bước 3: Tạo Filter cho MySQL/MariaDB

Fail2ban sử dụng các "filter" để nhận diện các dòng log chứa thông tin về lỗi. Chúng ta sẽ tạo một filter mới hoặc sửa đổi filter có sẵn.

Tạo hoặc chỉnh sửa file filter /etc/fail2ban/filter.d/mysqld-auth.local:

sudo nano /etc/fail2ban/filter.d/mysqld-auth.local

Thêm nội dung sau vào file. Regex này tìm kiếm các lỗi "Access denied" (truy cập bị từ chối) trong log:

[Definition]
failregex = ^.*Access denied for user '[^']+'@'<HOST>' \(using password: (YES|NO)\)$
            ^.*Host '<HOST>' is blocked because of many connection errors.*$
            ^.*(Too many connections|Aborted connection).*$
ignoreregex =

Giải thích:

  • failregex: Các mẫu regex mà Fail2ban sẽ tìm kiếm trong log để phát hiện hành vi tấn công.
    • Dòng đầu tiên bắt lỗi "Access denied for user".
    • Dòng thứ hai bắt lỗi "Host is blocked" của MySQL.
    • Dòng thứ ba bắt lỗi "Too many connections" hoặc "Aborted connection" có thể do tấn công.
  • <HOST>: Fail2ban tự động thay thế bằng địa chỉ IP của kẻ tấn công.
  • ignoreregex: Các mẫu regex mà Fail2ban sẽ bỏ qua (để tránh chặn người dùng hợp lệ).

Lưu và đóng file (Ctrl+X, Y, Enter).

Bước 4: Cấu hình Jail cho MySQL/MariaDB

"Jail" là nơi bạn định nghĩa các quy tắc hoạt động của Fail2ban, bao gồm filter nào sẽ sử dụng, log nào sẽ giám sát, và hành động cấm như thế nào.

Chúng ta sẽ tạo hoặc chỉnh sửa file cấu hình cục bộ /etc/fail2ban/jail.local để tránh bị ghi đè khi cập nhật Fail2ban.

sudo nano /etc/fail2ban/jail.local

Thêm phần sau vào cuối file, thay thế /path/to/mysql/error.log bằng đường dẫn log bạn tìm thấy ở Bước 2.

[mysqld-auth]
enabled = true
port    = mysql,3306
filter  = mysqld-auth
logpath = /var/log/mysql/error.log # ⚠️ Thay đổi đường dẫn này cho phù hợp với hệ thống của bạn!
maxretry = 5
bantime = 3600
findtime = 600
action = iptables-multiport

Giải thích các tùy chọn:

  • enabled = true: Kích hoạt jail này.
  • port = mysql,3306: Cổng dịch vụ MySQL (mặc định là 3306). Bạn có thể dùng tên dịch vụ mysql hoặc số cổng 3306.
  • filter = mysqld-auth: Sử dụng filter mà chúng ta đã định nghĩa ở Bước 3.
  • logpath = /var/log/mysql/error.log: Đường dẫn đến file log lỗi của MySQL/MariaDB.
  • maxretry = 5: Số lần đăng nhập không thành công tối đa trưực khi bị cấm.
  • bantime = 3600: Thời gian cấm (tính bằng giây). Ở đây là 1 giờ (3600 giây).
  • findtime = 600: Khoảng thời gian (tính bằng giây) mà maxretry được tính. Nếu trong 600 giây (10 phút), một IP có 5 lần đăng nhập sai, nó sẽ bị cấm.
  • action = iptables-multiport: Hành động mặc định là sử dụng iptables để chặn IP trên cổng đã chỉ định.

Lưu và đóng file.

Bước 5: Kiểm tra và Khởi động lại Fail2ban

Sau khi cấu hình, bạn cần khởi động lại dịch vụ Fail2ban để các thay đổi có hiệu lực.

sudo systemctl restart fail2ban

Để kiểm tra trạng thái của Fail2ban và jail mysqld-auth của bạn:

sudo fail2ban-client status
sudo fail2ban-client status mysqld-auth

Nếu mọi thứ được cấu hình đúng, bạn sẽ thấy trạng thái của jail mysqld-auth và danh sách các IP bị cấm (nếu có). ✅ Chúc mừng, Fail2ban của bạn đã sẵn sàng bảo vệ MySQL/MariaDB!

Troubleshooting

  • ⚠️ Fail2ban không hoạt động hoặc không cấm IP:

    • Kiểm tra lại đường dẫn logpath trong jail.local có chính xác không. Sai đường dẫn log là nguyên nhân phổ biến nhất.
    • Kiểm tra cư pháp của failregex bằng lệnh: 
      sudo fail2ban-regex /var/log/mysql/error.log /etc/fail2ban/filter.d/mysqld-auth.local
      (Thay /var/log/mysql/error.log bằng logpath của bạn). Lệnh này sẽ kiểm tra xem regex có khớp với các dòng trong log hay không.
    • Kiểm tra trạng thái dịch vụ Fail2ban: sudo systemctl status fail2ban.
    • Xem log của Fail2ban: sudo tail -f /var/log/fail2ban.log để xem nó có báo lỗi gì không.

  • ⚠️ Người dùng hợp lệ bị chặn:

    • Điều này có thể xảy ra nếu maxretry quá thấp hoặc findtime quá ngắn.
    • Bạn có thể tăng maxretry (ví dụ: lên 10) hoặc bantime (ví dụ: lên 600 giây = 10 phút) để giảm thiểu rủi ro.
    • Để bỏ cấm một IP cụ thể: sudo fail2ban-client set mysqld-auth unbanip <IP_ADDRESS>.

  • ⚠️ MySQL/MariaDB trên phiên bản mới không ghi log lỗi vào file:

    • Một số phiên bản MySQL (đặc biệt là MySQL 8+) có thể cấu hình mặc định ghi log lỗi vào stderr thay vì file. Bạn cần chỉnh sửa file my.cnf để đảm bảo log_error trỏ đến một file cụ thể, ví dụ: log_error = /var/log/mysql/error.log. Sau đó khởi động lại dịch vụ MySQL.

Kết Luận

Fail2ban là một công cụ bảo mật vô cùng hiệu quả để bảo vệ MySQL và các database khác khỏi các cuộc tấn công brute-force. Bằng cách tự động phát hiện và chặn các địa chỉ IP độc hại, nó giúp giảm tải cho máy chủ và tăng cường tính an toàn cho dữ liệu của bạn.

Best practices:

  • Kết hợp với mật khẩu mạnh: Fail2ban là tuyến phòng thủ đầu tiên, nhưng không thể thay thế cho việc sử dụng mật khẩu mạnh và duy nhất cho các tài khoản database.
  • Giới hạn quyền truy cập: Cấp quyền tối thiểu cần thiết cho từng người dùng database. Tránh sử dụng tài khoản root cho các ứng dụng thông thường.
  • Sử dụng tường lửa: Kết hợp Fail2ban với tường lửa mạng (như UFW hoặc firewalld) để chỉ cho phép các IP đáng tin cậy truy cập vào cổng database (3306).
  • Xem xét logs định kỳ: Thường xuyên kiểm tra logs của Fail2ban và MySQL/MariaDB để nắm bắt các mối đe dọa tiềm ẩn và điều chỉnh cấu hình nếu cần.
  • Sao lưu database: Luôn có kế hoạch sao lưu database thường xuyên để đảm bảo an toàn dữ liệu trong mọi tình huống.