Thursday, 15 December 2011

Fail2Ban ကလဲ သင့္ Server ကို Brute Force Attacks ေတြကေန အထိုက္အေလ်ာက္ Prevent လုပ္ေပး ႏိုင္ပါတယ္...

     Fail2Ban ဆိုတာကေတာ့ Framework  ေလးတခု ျဖစ္ပါတယ္..  IP တည္းကေန Login Security တခုကို ခ်ိဳးေဖာက္ဖို႕ ၾကံေဆာင္လာတာေတြကို Block/Filter လုပ္ေပးတဲ့ Framework ေလးပါ.. Open Source ဆိုေတာ့ကာ ေျပာေနစရာ မလို အၾကိဳက္ပဲ ( Free ကို) :) ေအာက္က sample  မွာေတာ့ ubuntu ကိုသုံးထား ပါတယ္... ဒီ Sample မွာေတာ့ SSH Login Authentication နဲ႕ပဲ ျပသြားပါမယ္.. Configuration ကလဲ လြယ္ကူပါတယ္..

     စျပီး Fail2Ban ကို Install လုပ္ပါမယ္...

#apt-get install fail2ban



     Install လုပ္ျပီး သြားရင္ configuration လုပ္ဖို႕ /etc/fail2ban/ ေအာက္ကိုသြားလိုက္ပါ..

#cd /etc/fail2ban/

       Default အေနနဲ႕ /etc/fail2ban/ ေအာက္က jail.conf ဆိုတဲ့ file မွာ ျပင္ဆင္ ရပါမယ္။ အဲဒီ ထဲမွာ  ဘယ္ IP ေတြကို လုံးလံုး Ignore ေပးမယ္၊ Ban Time ကိုဘယ္ေလာက္ သက္မွတ္ မယ္၊ ေနာက္ဘယ္ service ေတြကို checking လုပ္မွာလဲ စသည့္ျဖင့္ ျပင္ဆင္ႏိုင္ပါတယ္...

#vi jail.conf



     ဒီမွာေတာ့ ssh ကိုပဲ checking လုပ္ခိုင္း ပါမယ္... ၃ၾကိမ္ password မွားတာနဲ႕ Ban ပါမယ္...



     ရပါျပီ fial2ban service ကို restart  ခ်ပါမယ္..

#/etc/init.d/fail2ban restart



     သူက /var/log/auth.log  ကို read ျပီ ban  သင့္တာကို auto ban မွာပါ...သူ႕ရဲ့ log file  ကေတာ့ /var/log/ ေအာက္မွာပါ..



     သူ႕ရဲ့ log မွာ ban ခံရတဲ့ IP ေတြကိုျမင္ႏိုင္ပါတယ္..



     သူက iptables နဲ႕ ban (Drop) လိုက္တာပါ....



     ခဏခဏ အၾကိမ္ မ်ားလာရင္ေတာ့ network ရဲ့ firewall system မွာ အဲဒီ IP ကိုအေသသာ block လုပ္လိုက္ေပါ့

     ဆက္လက္၍  သိခ်င္သူ မ်ားအတြက္ >>

Ref:

- http://www.fail2ban.org/wiki/index.php/Main_Page
- http://www.fail2ban.org/wiki/index.php/MANUAL_0_8
-

>>

UTEE