1. Fail2Ban là gì?
Fail2Ban là một công cụ bảo mật trên Linux giúp tự động chặn IP khi phát hiện hành vi đăng nhập sai nhiều lần (brute force attack).
Nó hoạt động bằng cách:
-
Quét log (SSH, Nginx, Apache…)
-
Phát hiện hành vi đáng ngờ
-
Tự động block IP bằng firewall (iptables / ufw)
2. Cài đặt Fail2Ban trên Ubuntu
Bước 1: Update hệ thống
Bước 2: Cài Fail2Ban
Bước 3: Kiểm tra trạng thái
Nếu thấy active (running) là OK
3. Cấu hình Fail2Ban
Fail2Ban dùng file cấu hình chính:
KHÔNG chỉnh trực tiếp file này → tạo file riêng:
Cấu hình SSH (quan trọng nhất)
Mở file:
Tìm và chỉnh:
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 5
bantime = 600
findtime = 600
Giải thích:
-
enabled = true → bật bảo vệ SSH
-
maxretry = 5 → sai 5 lần sẽ bị ban
-
bantime = 600 → ban 10 phút
-
findtime = 600 → tính trong 10 phút
4. Restart Fail2Ban
5. Kiểm tra trạng thái
Xem danh sách jail:
Xem chi tiết SSH:
6. Unban IP (mở chặn IP)
7. Xóa toàn bộ IP bị ban
8. Mẹo bảo mật nâng cao
-
Đổi port SSH (không dùng port 22)
-
Tắt login bằng password → dùng SSH key
-
Kết hợp firewall:
Fail2Ban là công cụ cực kỳ quan trọng giúp:
-
Ngăn chặn brute force
-
Tự động bảo vệ server
-
Giảm tải tấn công từ bot
Nên cài ngay sau khi setup server Ubuntu.
Chúc các bạn thành công
