Hallo teman-teman semuanya kembali lagi bersama dengan saya di blog kita bersama, kali ini kita akan membahas seputar keamanan server lagi, yakni bagaimana cara melakukan block ip attacker yang mengakses nginx dengan respon 403 menggunakan tools fail2ban, mungkin diantara teman-teman pasti bertanya-tanya apa sih tujuan kita melakukan block ip ini?, ya tentu saja alasanya ialah karna keamanan server kita hehehe,, mungkin jika kita melihat beberapa log akses yang ditampilkan oleh nginx, terdapat beberapa ip attacker yang mencoba untuk menerobos keamanan server kita, seringkali ketika seoarang attacker sudah melakukan inject backdoor kedalam server via nginx, ini biasanya akan ditandai dengan kode 403 Access Forbiden dari log server nginx kita,, nahh untuk mengantisipasinya kita akan melakukan block ip attacker sesegara mungkin supaya attacker tidak dapat melakukan akses ke server kita
nahh dari penjelesan singkat diatas aku yakin rekan-rekan semuanya sudah paham ya kenapa kita membuat tutorial ini hehe,sebelum masuk kedalam langkah-langkah pembuatanya, silahkan simak penjelasan singkat terkait tools fail2ban, sebagai berikut :
Fail2ban adalah perangkat lunak keamanan berbasis log yang digunakan untuk mencegah serangan brute-force dan jenis serangan berbahaya lainnya pada server. Perangkat ini bekerja dengan memantau file log server untuk entri yang mencurigakan atau berbahaya, seperti upaya login yang gagal secara berulang kali atau permintaan yang menghasilkan status kesalahan tertentu seperti 403 Forbidden.
!! PERHATIAN: semua konfigurasi yang digunakan dalam tutorial ini merupakan hasil dari lab yang dibuat sendiri dan tidak menggunakan perangkat real , dan tujuan dibuatnya tutorial ini hanyalah untuk pembelajaran semata !!
Langkah 1. Install fail2ban
untuk melakukan installasi fail2ban silahkan jalankan perintah berikut ini di server teman-teman semuanya :
$ sudo apt install fail2ban
Langkah2. Konfigurasi fail2ban
masuk kedalam file konfigurasi fail2ban
$ sudo nano /etc/fail2ban/jail.local
[nginx-403]enabled = trueport = http,httpsfilter = nginx-403logpath = /var/log/nginx/access.logmaxretry = 5bantime = 3600
-enabled
: Mengaktifkan filter.- port
: Port yang akan dipantau.- filter
: Nama filter yang akan kita buat.- logpath
: Jalur ke log akses Nginx.- maxretry
: Jumlah percobaan sebelum IP diblokir.- bantime
: Waktu blokir dalam detik (3600 detik = 1 jam).Langkah3. Membuat file filter nginx fail2ban
$ sudo nano /etc/fail2ban/filter.d/nginx-403.conf
[Definition]failregex = ^<HOST> -.* "(GET|POST|PUT|DELETE|PATCH|HEAD|OPTIONS|TRACE|CONNECT) .* HTTP/1\.[01]" 403ignoreregex =
$ sudo systemctl restart fail2ban
Langkah 4. Uji coba
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoOdaQxfZU3ONBlH6vblNJbYlc5TuJyFjzJHF1qvt4t7fIPGJOwe6of_d8pv4qg6lYDop4gwJfsv82ndcNGF9HgROPp1sJIsy3Y4FXpp60rPHwPnZtdNC-05p9bgr7j-8FwE2uYLG_RSefseF-tpKV84vZLRW5O5aPJ98MYeqRzv8RjTh7HxiBvNp4MEQ_/w640-h248/1.png)
dapat dilihat bahwa computer attacker tidak dapat melakukan akses ke server nginx, ditandai dengan error "Connection refused", dan jika kita lihat status ip yang diblock oleh attacker, rekan-rekan dapat menjalankan perintah berikut
$ sudo fail2ban-client status nginx-403
dapat kita lihat bahwa ip attacker sudah berhasil di banned oleh fail2ban, dengan ini proses konfigurasi kita pada fail2ban telah berhasil,
Sekian penjelasan terkait langkah-langkah untuk cara melakukan block ip attacker yang mengakses nginx dengan respon 403 menggunakan Fail2ban, jika rekan-rekan ada pertanyaan silahkan tinggalkan pesan dikolom komentar,,,
sekian dan terimakasih...
0 Komentar