Cách bảo vệ SSH bằng Fail2Ban trên Debian 12

Fail2Ban là một ứng dụng phân tích nhật ký bảo vệ hệ thống Linux khỏi nhiều loại tấn công khác nhau, đặc biệt là các loại tấn công nhắm vào các dịch vụ tương tác với internet, chẳng hạn như SSH (Secure Shell). Mục tiêu chính của Fail2Ban là giám sát các tệp nhật ký để phát hiện hoạt động đáng ngờ và tự động sửa đổi các quy tắc tường lửa để chặn địa chỉ IP của các máy chủ có hành vi độc hại.

Đầu tiên, hãy cập nhật hệ thống,

apt update -y

apt upgrade -y

Cài đặt Fail2ban
Cài đặt fail2ban bằng lệnh bên dưới,

apt install fail2ban

Cài đặt và cấu hình tường lửa

Cài đặt UFW bằng lệnh bên dưới,

apt install ufw

Kích hoạt UFW bằng lệnh bên dưới,

ufw enable

Cho phép SSH sử dụng lệnh bên dưới

ufw allow 22

Tải lại UFW bằng lệnh bên dưới

ufw reload

Cấu hình Fail2ban cho SSH

Tạo một bản sao của tệp cấu hình mặc định:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Mở tệp jail.local trong trình soạn thảo văn bản

nano /etc/fail2ban/jail.local

Tìm [sshd]phần trong jail.localtệp và đảm bảo các cấu hình sau được thiết lập:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Cài đặt cấu hình
đã bật: Đặt thành đúng để bật quy tắc.
cổng: Cổng nơi dịch vụ SSH của bạn đang chạy (mặc định là ssh, tương đương với cổng 22).
bộ lọc: Bộ lọc được sử dụng (trong trường hợp này là bộ lọc sshd).
logpath: Đường dẫn đến tệp nhật ký SSH.
maxretry: Số lần lỗi trước khi một IP bị cấm.

Lưu và đóng tệp.

Khởi động lại dịch vụ fail2ban để áp dụng các thay đổi,

systemctl restart fail2ban

Xác minh trạng thái fail2ban bằng lệnh bên dưới

systemctl status fail2ban

Để bỏ lệnh cấm một IP.

fail2ban-client set sshd unbanip "IP address here"

Để cấm một IP

fail2ban-client set sshd banip "IP address here"

Sau khi cấm Địa chỉ IP, bạn có thể thử đăng nhập bằng IP bị cấm và bạn sẽ nhận được kết quả bên dưới:

root@vps:~# ssh root@<Your_IP_Address>
ssh: connect to host <Your_IP_Address> port 22: Connection refused