Hari ini ngobrol saja soal pengaturan fail2ban. Barusan dapat limpahan sebuah VPS yang usianya lumayan lama tapi gunakan CentOS 7. Tak ada masalah pada performanya selaku web server. akan tetapi tetap diperiksa menyeluruh apa saja yang terpasang dan apakah berjalan normal. Nah ketemu masalah dengan fail2ban ternyata. ?
Seperti umumnya kita akan mengecek bagaimana kondisi proses fail2ban:
fail2ban-client statusMalah dibalas dengan kabar buruk:
ERROR Unable to contact server. Is it running?Jadi dalam rentang waktu ini pemilik servernya tak tahu kalau prosesnya tak aktif. ?
Bagi tahu detailnya tentu kita mengecek lognya:
tail /var/log/fail2ban.logTernyata ada anomali memang:
2017-02-22 09:44:57,316 fail2ban.actions[22161]: WARNING [ssh] Ban 192.168.1.34
2017-02-22 09:46:05,381 fail2ban.actions[22161]: WARNING [ssh] Ban 192.168.1.17
2017-02-22 09:54:58,008 fail2ban.actions[22161]: WARNING [ssh] Unban 192.168.1.34
2017-02-22 09:56:06,101 fail2ban.actions[22161]: WARNING [ssh] Unban 192.168.1.17
2017-02-22 09:56:43,151 fail2ban.actions[22161]: WARNING [ssh] Ban 192.168.1.34
2017-02-22 09:58:27,298 fail2ban.server [24553]: INFO Stopping all jails
2017-02-22 10:06:43,828 fail2ban.actions[22161]: WARNING [ssh] Unban 192.168.1.34
2017-02-22 10:08:27,970 fail2ban.actions[22161]: WARNING [ssh] Ban 192.168.1.34
2017-02-22 10:08:27,975 fail2ban.jail [24553]: INFO Jail 'ssh' stopped
2017-02-22 10:10:38,143 fail2ban.server [24553]: INFO Exiting Fail2banMasih kurang jelas ini masalahnya dimana soalnya kadang bekerja (blokir SSH berbahaya) tapi kok malah mati di akhirnya.
Akhirnya cek syslog:
tail /var/log/syslogHasilnya lumayan mencerahkan:
Feb 22 10:20:01 servernesia systemd[1]: Stopping LSB: Start/stop fail2ban...
Feb 22 10:20:01 servernesia fail2ban[31145]: Stopping authentication failure monitor: fail2ban.
Feb 22 10:20:01 servernesia systemd[1]: Starting LSB: Start/stop fail2ban...
Feb 22 10:20:01 servernesia fail2ban[25327]: Starting authentication failure monitor: fail2ban ERROR No file(s) found for glob /var/log/apache/error.log
Feb 22 10:20:01 servernesia fail2ban[25327]: ERROR Failed during configuration: Have not found any log file for apache-noscript jail
Feb 22 10:21:01 servernesia fail2ban[25327]: failed!
Feb 22 10:21:01 servernesia systemd[1]: Started LSB: Start/stop fail2ban.
Feb 22 10:21:01 servernesia fail2ban[25327]: Stopping fail2ban: ERROR Unable to contact server. Is it running?Dari sini baru kita dapat mengira – ngira masalahnya dimana. Ternyata aturan fail2ban bagi Apache ada masalah tak ditemukan.
Setelah saya cek jail.conf bagi filter Apachenya memang ada typo di nama lokasinya yang tak cocok. Sederhana memang tapi kalau tak tahu bagaimana memulai prosesnya ya akan membuang waktu pun.
Jadi kalau kamu mengalami masalah dengan fail2ban kurang lebih alur troubleshootingnya seperti diatas dasarnya.
Sumber https://servernesia.com