Tag

,

Saat melakukan pemeriksaan pada log status fail2ban, terdapat notice bahwa fail2ban telah melakukan ban pada IP yang melakukan brute force pada port SSH di server. Log tersebut seperti yang terlihat di bawah ini:

2018-12-18 10:17:02,644 fail2ban.actions        [1061]: NOTICE  [sshd] 58.242.83.18X already banned
2018-12-18 10:17:03,522 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:04,048 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:06,178 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:06,223 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:08,612 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:08,643 fail2ban.filter         [1061]: INFO    [sshd] Found 58.242.83.18X
2018-12-18 10:17:08,651 fail2ban.actions        [1061]: NOTICE  [sshd] 58.242.83.18X already banned

Terlihat bahwa semestinya IP 58.242.83.18X tersebut harusnya setelah di ban, tidak akan kembali melakukan proses koneksi, namun ternyata koneksinya tidak di banned! Karena untuk iptables saya menggunakan shorewall sebagai managemennya, saat dilakukan proses banned pada IP yang bermasalah, bila saya check di shorewall, harusnya akan terlihat IP apa saja yang di banned. Namun muncul error saat dijalankan perintah:

# shorewall show dynamic
   ERROR: Chain 'dynamic' is not recognized by /sbin/iptables.

Saat dijalankan perintah untuk menampilkan status shorewall ditemukan permasalahannya, shorewall tidak berjalan!

# shorewall status
Shorewall-5.0.15.6 Status at apuy-kambe - Tue Dec 18 10:20:19 WIB 2018

Shorewall is stopped
State:Started Fri Nov 16 10:44:49 WIB 2018 from /etc/shorewall/ (/var/lib/shorew                                                           all/firewall compiled Fri Nov 16 10:44:48 WIB 2018 by Shorewall version 5.0.15.6                                                           )

Ternyata setelah server hidup kembali akibat mati listrik di lokasi server berada, didapatkan informasi shorewall tidak berjalan otomatis di Debian Stretch, walaupun telah melakukan setting startup=1 di /etc/default/shorewall. Perlu dilakukan perintah untuk menambahkan shorewall sebagai service yang berjalan otomatis saat sistem berjalan pertamakalinya.

# systemctl enable shorewall
Synchronizing state of shorewall.service with SysV service script with /lib/syst                                                           emd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable shorewall
insserv: warning: current stop runlevel(s) (0 6) of script `shorewall' overrides                                                            LSB defaults (0 1 6).
insserv: warning: current stop runlevel(s) (0 6) of script `shorewall' overrides                                                            LSB defaults (0 1 6).

Setelah itu shorewall dijalankan.

# shorewall start
Compiling using Shorewall 5.0.15.6...
Processing /etc/shorewall/params ...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Compiling /etc/shorewall/zones...
Compiling /etc/shorewall/interfaces...
..

Kemudian fail2ban di restart.

# service fail2ban restart

Lalu saat di check kembali pada log, barulah fail2ban dapat berjalan dengan normal dan IP tersebut sukses di banned.

Sumber:

Iklan