fail2ban auto-ban IP brute-force SSH / WordPress

Tài liệu » Quản trị VPS - Server » fail2ban auto-ban IP brute-force SSH / WordPress

Vì sao cần fail2ban auto-ban IP brute-force SSH / WordPress ngay?

Việc server của bạn liên tục bị tấn công brute-force SSH hay WordPress là một vấn đề nhức nhối, gây ảnh hưởng nghiêm trọng đến hiệu suất và bảo mật.

  • 🔒 Tăng tải cho server: Các yêu cầu đăng nhập thất bại liên tục tiêu tốn tài nguyên CPU và RAM.
  • 🔥 Nguy cơ bị chiếm quyền: Tấn công brute-force là bước đầu tiên để kẻ xấu xâm nhập hệ thống.
  • 📉 Giảm hiệu suất website: WordPress bị tấn công có thể khiến website chậm hẳn đi, ảnh hưởng trải nghiệm người dùng.
  • 📜 Log file đầy rác: Các file log hệ thống bị “nhồi nhét” bởi hàng ngàn dòng thông báo đăng nhập thất bại.
  • 😴 Mất ngủ: Bạn có thể phải thức đêm để xử lý các vấn đề an ninh phát sinh.

1. fail2ban là gì và hoạt động ra sao?

Tóm gọn: fail2ban là một công cụ mã nguồn mở mạnh mẽ giúp bảo vệ server khỏi các cuộc tấn công tự động như brute-force bằng cách theo dõi log file và tự động ban (block) các địa chỉ IP đáng ngờ.

fail2ban hoạt động dựa trên nguyên tắc “theo dõi và trừng phạt”. Nó quét các file log hệ thống (như /var/log/auth.log cho SSH, hoặc log của web server cho WordPress) để tìm kiếm các mẫu hành vi lặp đi lặp lại, ví dụ như nhiều lần đăng nhập thất bại từ cùng một địa chỉ IP. Khi phát hiện một IP vượt quá ngưỡng cho phép (ví dụ: 5 lần thất bại trong 10 phút), fail2ban sẽ tự động cấu hình tường lửa (thường là iptables hoặc firewalld) để chặn truy cập từ IP đó trong một khoảng thời gian nhất định.

Cài đặt fail2ban

Để bắt đầu, bạn cần cài đặt fail2ban trên hệ thống Linux của mình. Hầu hết các bản phân phối Linux hiện đại đều có sẵn trong kho phần mềm.

Bước 1: Cài đặt fail2ban trên Ubuntu/Debian

sudo apt update
sudo apt install fail2ban -y

Bước 2: Kích hoạt dịch vụ fail2ban

Sau khi cài đặt, dịch vụ fail2ban thường sẽ tự động khởi động và kích hoạt. Bạn có thể kiểm tra trạng thái của nó bằng lệnh sau:

sudo systemctl status fail2ban

Nếu dịch vụ chưa chạy, bạn có thể khởi động và kích hoạt nó bằng các lệnh sau:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Bước 3: Cấu hình cơ bản

fail2ban sử dụng các file cấu hình nằm trong thư mục /etc/fail2ban/. File chính là jail.conf, nhưng bạn không nên chỉnh sửa trực tiếp file này. Thay vào đó, hãy tạo một file jail.local để ghi đè các cài đặt trong jail.conf.

Tạo file jail.local:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Bây giờ, bạn có thể mở jail.local bằng trình soạn thảo văn bản yêu thích (ví dụ: nano):

sudo nano /etc/fail2ban/jail.local

Trong file này, bạn sẽ tìm thấy các mục cấu hình chính. Mục quan trọng nhất là [DEFAULT], nơi bạn có thể đặt các thông số áp dụng cho tất cả các “nhà tù” (jail) nếu không được ghi đè ở cấp độ cụ thể.

  • bantime: Thời gian một IP bị ban (ví dụ: 10m cho 10 phút, 1h cho 1 giờ, 1d cho 1 ngày).
  • findtime: Khoảng thời gian mà fail2ban sẽ theo dõi các sự kiện (ví dụ: 10m cho 10 phút).
  • maxretry: Số lần thử thất bại tối đa trước khi IP bị ban (ví dụ: 5).
  • destemail: Địa chỉ email để gửi thông báo khi có IP bị ban (nếu bạn cấu hình gửi email).
  • sender: Địa chỉ email người gửi thông báo.
  • action: Hành động được thực hiện khi phát hiện IP độc hại (mặc định thường là %(action_mw)s – ban IP và gửi email kèm thông tin whois).

💡 Mẹo: Cài đặt bantime hợp lý là rất quan trọng. Thời gian quá ngắn có thể không đủ để ngăn chặn tấn công, trong khi thời gian quá dài có thể vô tình chặn nhầm người dùng hợp pháp. Bắt đầu với 1h hoặc 24h là một lựa chọn an toàn.

2. Bảo vệ SSH với fail2ban

Tóm gọn: fail2ban có thể dễ dàng cấu hình để bảo vệ dịch vụ SSH khỏi các cuộc tấn công brute-force, một trong những mục tiêu phổ biến nhất của tin tặc.

SSH (Secure Shell) là cổng mặc định để truy cập vào máy chủ từ xa. Do đó, nó thường xuyên là mục tiêu của các cuộc tấn công brute-force, nơi kẻ tấn công cố gắng đoán mật khẩu bằng cách thử hàng loạt tổ hợp tên người dùng và mật khẩu. fail2ban giúp ngăn chặn điều này bằng cách giám sát file log xác thực của SSH.

Cấu hình jail cho SSH

fail2ban đi kèm với các file cấu hình sẵn cho nhiều dịch vụ phổ biến, bao gồm SSH. File này thường nằm ở /etc/fail2ban/jail.d/defaults-debian.conf hoặc tương tự, nhưng chúng ta sẽ cấu hình trong jail.local để dễ quản lý.

Trong file /etc/fail2ban/jail.local, bạn cần đảm bảo mục [sshd] được bật và cấu hình các tham số phù hợp.

Bước 1: Bật jail SSH

Tìm hoặc thêm mục [sshd] vào file jail.local. Đảm bảo dòng enabled = true được đặt.

[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
maxretry = 5
findtime = 10m
bantime = 1h
  • enabled = true: Kích hoạt jail này.
  • port = ssh: Chỉ định cổng SSH (mặc định là 22). Nếu bạn đã đổi cổng SSH, hãy thay đổi giá trị này.
  • logpath = %(sshd_log)s: Đường dẫn đến file log SSH. %(sshd_log)s thường được định nghĩa ở mục [DEFAULT] và trỏ đến /var/log/auth.log trên các hệ thống Debian/Ubuntu.
  • backend = %(sshd_backend)s: Phương thức mà fail2ban sử dụng để theo dõi log file.
  • maxretry: Số lần đăng nhập SSH thất bại trước khi IP bị ban.
  • findtime: Khoảng thời gian để đếm số lần thử thất bại.
  • bantime: Thời gian IP bị ban.

Bước 2: Khởi động lại fail2ban

Sau khi thay đổi file cấu hình, bạn cần khởi động lại dịch vụ fail2ban để áp dụng các thay đổi.

sudo systemctl restart fail2ban

Bước 3: Kiểm tra trạng thái jail SSH

Bạn có thể sử dụng lệnh fail2ban-client để kiểm tra trạng thái của các jail đang hoạt động.

sudo fail2ban-client status sshd

Output mẫu:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 123
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 5
   |- Total banned: 25
   `- Banned IP list:   192.168.1.100, 10.0.0.5, ...

Output này cho biết có bao nhiêu IP đang bị ban, tổng số IP đã từng bị ban và danh sách các IP hiện tại đang bị chặn.

⚠️ Cảnh báo: Nếu bạn đang sử dụng SSH trên một cổng tùy chỉnh (không phải 22), hãy đảm bảo bạn cập nhật dòng port trong cấu hình [sshd] cho đúng. Sai cổng có thể khiến fail2ban không theo dõi được log hoặc ban nhầm IP.

3. Bảo vệ WordPress với fail2ban

Tóm gọn: fail2ban có thể được cấu hình để bảo vệ các điểm yếu phổ biến trong WordPress, như trang đăng nhập (wp-login.php) khỏi các cuộc tấn công brute-force.

WordPress, với sự phổ biến của mình, là một mục tiêu hấp dẫn cho tin tặc. Trang đăng nhập (wp-login.php hoặc xmlrpc.php) là điểm yếu thường bị tấn công brute-force. fail2ban có thể giúp ngăn chặn điều này bằng cách theo dõi log của web server (Apache hoặc Nginx).

Để fail2ban có thể bảo vệ WordPress, web server của bạn cần ghi lại các yêu cầu thất bại vào log.

Cấu hình jail cho WordPress (qua web server)

Chúng ta sẽ tạo một jail tùy chỉnh để theo dõi các truy cập vào trang đăng nhập WordPress.

Bước 1: Xác định log file của web server

  • Apache: Thường là /var/log/apache2/access.log hoặc /var/log/apache2/error.log.
  • Nginx: Thường là /var/log/nginx/access.log hoặc /var/log/nginx/error.log.

Bạn cần kiểm tra cấu hình web server của mình để biết chính xác đường dẫn log.

Bước 2: Tạo file filter tùy chỉnh

fail2ban sử dụng các “filter” để định nghĩa mẫu log cần tìm kiếm. Chúng ta cần tạo một filter cho các truy cập vào trang đăng nhập WordPress.

Tạo một file mới trong /etc/fail2ban/filter.d/, ví dụ: wordpress-login.conf.

sudo nano /etc/fail2ban/filter.d/wordpress-login.conf

Nội dung file wordpress-login.conf:

[Definition]
failregex = ^<HOST> -.*"(POST|GET).*wp-login\.php HTTP.*" (401|403|405|444)
ignoreregex =
  • failregex: Đây là biểu thức chính quy (regex) để tìm kiếm các dòng log khớp với hành vi tấn công.
    • <HOST>: Một biến của fail2ban để khớp với địa chỉ IP của client.
    • POST|GET: Các phương thức HTTP có thể được sử dụng để truy cập trang đăng nhập.
    • wp-login\.php: Tên file trang đăng nhập WordPress.
    • 401|403|405|444: Các mã trạng thái HTTP thường gặp khi đăng nhập thất bại hoặc bị chặn bởi web server. 444 là mã trạng thái tùy chỉnh của Nginx để đóng kết nối mà không trả về phản hồi.
  • ignoreregex: Biểu thức chính quy để bỏ qua các dòng log nhất định, tránh ban nhầm.

Bước 3: Thêm jail WordPress vào jail.local

Mở file /etc/fail2ban/jail.local và thêm một mục mới cho WordPress.

[wordpress-login]
enabled = true
port    = http,https
filter  = wordpress-login
logpath = /var/log/nginx/access.log  # Thay đổi đường dẫn log nếu cần
maxretry = 6
findtime = 10m
bantime = 1h
action = %(action_mw)s
  • enabled = true: Kích hoạt jail.
  • port = http,https: Các cổng web (80, 443).
  • filter = wordpress-login: Sử dụng filter chúng ta vừa tạo.
  • logpath: Quan trọng: Thay đổi đường dẫn này cho khớp với file log access.log hoặc error.log của web server bạn đang dùng (Apache hoặc Nginx).
  • maxretry, findtime, bantime: Các tham số tương tự như jail SSH, bạn có thể điều chỉnh.
  • action: Hành động thực hiện.

💡 Mẹo: Nếu bạn sử dụng Nginx và muốn fail2ban chặn truy cập bằng mã 444 (khi Nginx đóng kết nối), bạn cần đảm bảo failregex của bạn bao gồm mã này và Nginx được cấu hình để ghi lại các yêu cầu dẫn đến mã 444 vào access.log.

Bước 4: Khởi động lại fail2ban

sudo systemctl restart fail2ban

Bước 5: Kiểm tra trạng thái jail WordPress

sudo fail2ban-client status wordpress-login

Output mẫu tương tự như jail SSH, cho biết trạng thái của jail WordPress.

⚠️ Cảnh báo: Việc cấu hình failregex cho WordPress có thể phức tạp hơn do sự đa dạng của các plugin và cách web server ghi log. Hãy kiểm tra kỹ log file của bạn và điều chỉnh failregex nếu cần. Bạn có thể dùng lệnh fail2ban-regex để kiểm tra filter của mình:

bash
sudo fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/wordpress-login.conf

4. Tùy chỉnh nâng cao và các jail hữu ích khác

Tóm gọn: fail2ban cung cấp khả năng tùy chỉnh mạnh mẽ và có các jail được tích hợp sẵn cho nhiều dịch vụ khác ngoài SSH và WordPress.

Ngoài SSH và WordPress, fail2ban có thể bảo vệ nhiều dịch vụ khác như FTP, mail server, hoặc thậm chí là các ứng dụng web tùy chỉnh. Bạn có thể tạo các jail mới hoặc tinh chỉnh các jail hiện có để phù hợp với nhu cầu bảo mật cụ thể của mình.

Cấu hình ban vĩnh viễn (Permanent Ban)

Đôi khi, bạn muốn ban một địa chỉ IP vĩnh viễn nếu nó liên tục có hành vi xấu. Bạn có thể làm điều này bằng cách đặt bantime = -1.

[DEFAULT]
bantime = -1

⚠️ Cảnh báo: Cẩn thận khi sử dụng bantime = -1. Nó có thể vô tình chặn nhầm IP hợp pháp nếu cấu hình không chính xác, và việc gỡ ban sẽ cần can thiệp thủ công.

Sử dụng các jail có sẵn

fail2ban đi kèm với nhiều file filter và jail mẫu trong thư mục /etc/fail2ban/. Bạn có thể khám phá các file như apache-auth.conf, nginx-http-auth.conf, postfix.conf, dovecot.conf… để xem các cấu hình mẫu cho các dịch vụ khác.

Để sử dụng một jail có sẵn, bạn chỉ cần thêm mục tương ứng vào jail.local và đặt enabled = true. Ví dụ, để bảo vệ Apache khỏi tấn công brute-force xác thực:

[apache-auth]
enabled = true
port    = http,https
logpath = %(apache_error_log)s
maxretry = 3
bantime = 1h

Tinh chỉnh action

action xác định những gì fail2ban làm khi ban một IP. Các action phổ biến bao gồm:

  • %(action_mw)s: Ban IP và gửi email kèm thông tin whois.
  • %(action_mwl)s: Ban IP, gửi email kèm whois và log chi tiết.
  • %(action_ib)s: Chỉ ban IP (không gửi email).

Bạn có thể định nghĩa các action tùy chỉnh trong file action.d/.

Sử dụng fail2ban-client để quản lý

Lệnh fail2ban-client rất hữu ích để quản lý fail2ban khi đang chạy:

  • sudo fail2ban-client status: Hiển thị trạng thái của tất cả các jail.
  • sudo fail2ban-client status <jailname>: Hiển thị trạng thái của một jail cụ thể (ví dụ: sshd).
  • sudo fail2ban-client set <jailname> unbanip <IP_ADDRESS>: Gỡ ban một địa chỉ IP cụ thể.
  • sudo fail2ban-client reload: Tải lại cấu hình mà không cần khởi động lại dịch vụ.

💡 Mẹo: Luôn kiểm tra log của fail2ban tại /var/log/fail2ban.log để gỡ lỗi hoặc xem các hoạt động của nó.

Pitfalls & lỗi thường gặp

Tóm gọn: Mặc dù mạnh mẽ, fail2ban có thể gặp một số vấn đề nếu không được cấu hình đúng cách, đòi hỏi người dùng phải biết cách khắc phục.

1. IP tĩnh của người dùng bị ban nhầm

Vấn đề: Người dùng hợp pháp với IP tĩnh bị ban do cấu hình maxretry quá thấp hoặc findtime quá ngắn.

Cách khắc phục:
* Tăng giá trị maxretry (ví dụ: từ 3 lên 5 hoặc 10).
* Tăng giá trị findtime (ví dụ: từ 5 phút lên 15 hoặc 30 phút).
* Thêm IP tĩnh của người dùng vào danh sách ignoreip trong jail.local:
ini
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.10

2. failregex không khớp với log

Vấn đề: fail2ban không phát hiện được các lần đăng nhập thất bại vì failregex không khớp với định dạng log thực tế.

Cách khắc phục:
* Sử dụng lệnh fail2ban-regex để kiểm tra failregex với file log của bạn.
* Kiểm tra xem web server/dịch vụ có ghi log đúng định dạng mà failregex mong đợi không.
* Điều chỉnh failregex cho phù hợp. Ví dụ, nếu log của bạn có thêm thông tin, bạn có thể cần sửa biểu thức chính quy.

3. fail2ban không ban được IP (lỗi tường lửa)

Vấn đề: fail2ban chạy, theo dõi log, nhưng IP độc hại vẫn có thể truy cập được.

Cách khắc phục:
* Kiểm tra xem fail2ban có đang sử dụng đúng backend tường lửa không (thường là iptables hoặc firewalld).
* Đảm bảo các module cần thiết cho tường lửa đã được cài đặt và hoạt động.
* Kiểm tra xem có quy tắc tường lửa nào khác đang ghi đè hoặc xung đột với các quy tắc do fail2ban tạo ra không.
* Chạy lệnh sudo iptables -L (hoặc sudo firewall-cmd --list-all) để xem các quy tắc hiện tại.

4. Jail không được kích hoạt

Vấn đề: Bạn đã cấu hình một jail mới nhưng nó không hoạt động.

Cách khắc phục:
* Đảm bảo enabled = true trong mục jail tương ứng trong jail.local.
* Khởi động lại fail2ban sau khi thay đổi cấu hình: sudo systemctl restart fail2ban.
* Kiểm tra fail2ban.log để tìm thông báo lỗi liên quan đến việc tải jail.

Key takeaways

  • fail2ban là công cụ thiết yếu để bảo vệ server khỏi các cuộc tấn công tự động như brute-force.
  • Nó hoạt động bằng cách theo dõi log file và tự động ban các IP có hành vi đáng ngờ.
  • Cấu hình SSH và WordPress là hai bước quan trọng đầu tiên để tăng cường bảo mật.
  • Luôn tạo file jail.local thay vì chỉnh sửa trực tiếp jail.conf.
  • Kiểm tra log và trạng thái thường xuyên để đảm bảo fail2ban hoạt động hiệu quả và khắc phục sự cố kịp thời.

FAQ

H3: fail2ban có tự động gỡ ban không?

Có, fail2ban sẽ tự động gỡ ban một địa chỉ IP sau khi hết thời gian bantime đã cấu hình.

H3: Tôi có thể ban IP vĩnh viễn không?

Có, bằng cách đặt bantime = -1 trong file cấu hình. Tuy nhiên, hãy sử dụng cẩn thận.

H3: fail2ban có bảo vệ được website khỏi tấn công DDoS không?

fail2ban chủ yếu tập trung vào việc ban các IP thực hiện hành vi lặp đi lặp lại như brute-force. Nó không phải là giải pháp chống DDoS toàn diện, mặc dù nó có thể giúp giảm thiểu một phần lưu lượng truy cập độc hại.

H3: Tôi nên đặt maxretryfindtime là bao nhiêu?

Giá trị tối ưu phụ thuộc vào từng dịch vụ và mức độ nhạy cảm của bạn. Bắt đầu với maxretry = 5findtime = 10m cho SSH là một điểm khởi đầu tốt.

H3: Làm thế nào để biết fail2ban đang chặn IP nào?

Sử dụng lệnh sudo fail2ban-client status <jailname> (ví dụ: sudo fail2ban-client status sshd) để xem danh sách các IP đang bị ban.

H3: Tôi có cần cấu hình tường lửa riêng không?

fail2ban sử dụng tường lửa hệ thống (như iptables hoặc firewalld) để thực hiện việc ban IP. Bạn không cần cấu hình tường lửa riêng cho fail2ban, nhưng cần đảm bảo tường lửa hệ thống đang hoạt động và fail2ban có quyền ghi đè các quy tắc của nó.

Cần VPS chạy fail2ban?

Bảo vệ server của bạn khỏi các cuộc tấn công brute-force và các mối đe dọa an ninh khác là cực kỳ quan trọng. fail2ban là một công cụ mạnh mẽ và miễn phí giúp bạn thực hiện điều đó một cách hiệu quả.

Hãy đảm bảo VPS của bạn có đủ tài nguyên để chạy các dịch vụ và công cụ bảo mật. Tại vsis.net, chúng tôi cung cấp các giải pháp VPS hiệu năng cao, ổn định với mức giá cạnh tranh, là nền tảng vững chắc cho mọi ứng dụng của bạn.

Khám phá ngay VPS tại vsis.net/vps để xây dựng một hệ thống an toàn và mạnh mẽ!

Bài viết liên quan

Lên đầu trang