Sedikit berhubungan dengan pembahasan kemarin soal log SSH. Kalau anda install fail2ban maka file log yang sama akan dibaca dan dipahami aktivitas mana yang sesuai kriteria ban. Dasarnya sih setelah terpasang dan aktif kita tidak perlu melakukan apapun, khususnya untuk SSH memang sudah ada aturan defaultnya. Terima jadi saja. 🙂
Tapi membaca log aslinya karena bisa banyak isinya malah bikin pusing. 😀 Solusinya sih lebih mudah, kecuali anda butuh alamat IP pelaku dan port yang berusaha dibobol maka kita bisa mengecek statistiknya saja. Saya misalkan untuk aktivitas SSH yang dicekal oleh fail2ban:
fail2ban-client status sshAnda harus tahu nama jail atau filternya misal ingin tahu ruleset yang lain sudah bekerja.
Hasilnya akan seperti berikut:
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 0
| `- Total failed: 1887
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 298Cukup sederhana dan lebih mudah dipahami kan? 🙂
Oh ya, ternyata fail2ban bisa digabung dengan CMS. Misal usaha bruteforce login WordPress akan dideteksi oleh fail2ban dan diblok pada tingkat network. Jadi tidak perlu PHP yang berpengaruh pada performa nantinya kalau usaha tidak valid diproses juga. Tapi ini bukan peraturan default, perlu dibuat dan ditambahkan sendiri.