konfigurasi fail2ban untuk memantau log dari aplikasi Asterisk di Ubuntu

contoh konfigurasi fail2ban untuk memantau log dari aplikasi Asterisk di Ubuntu. Anda perlu membuat atau memodifikasi file konfigurasi jail.local di dalam direktori /etc/fail2ban/: Buka terminal dan buat atau edit file /etc/fail2ban/jail.local: bash Copy code sudo nano /etc/fail2ban/jail.local Tambahkan konfigurasi berikut ke dalam file tersebut: makefile Copy code [asterisk] enabled = true port = 5060 protocol = udp filter = asterisk logpath = /var/log/asterisk/messages maxretry = 5 findtime = 600 bantime = 3600 Buat file filter untuk Asterisk dengan nama asterisk.conf di dalam direktori /etc/fail2ban/filter.d/: bash Copy code sudo nano /etc/fail2ban/filter.d/asterisk.conf Tambahkan aturan berikut ke dalam file asterisk.conf: css Copy code [Definition] failregex = SECURITY.*SecurityEvent="[^"]*FAILED"[^"]*\s+Service="[^"]*asterisk[^"]*"\s+EventTV="[^"]*"\s+Severity="[^"]*"\s+Service=(?:[^;]+;)?([^;]+) SECURITY.*Service=[^;]+;([^;]+);.*FailedACL="([^"]+)".*RemoteAddress="[UDP|TCP]:[^"]+:\d+" ignoreregex = Simpan perubahan dan keluar dari editor. Restart fail2ban agar konfigurasi baru berlaku: Copy code sudo systemctl restart fail2ban Dengan konfigurasi ini, fail2ban akan memonitor log dari Asterisk di /var/log/asterisk/messages. Jika ada lebih dari 5 percobaan gagal dalam waktu 10 menit (findtime = 600), alamat IP yang mencoba akan diblokir selama 1 jam (bantime = 3600). Anda dapat menyesuaikan nilai-nilai ini sesuai dengan kebutuhan Anda. Jika tidak ada file jail.local, Anda dapat membuatnya. File jail.local biasanya digunakan untuk menimpa pengaturan default yang ada di dalam file jail.conf. Jika file jail.local tidak ada, Anda dapat membuatnya dengan menyalin file jail.conf dan kemudian menambahkan atau mengedit konfigurasi yang diperlukan. Berikut langkah-langkahnya: Salin file jail.conf ke jail.local: bash Copy code sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local Edit file jail.local: bash Copy code sudo nano /etc/fail2ban/jail.local Tambahkan konfigurasi yang diperlukan untuk Asterisk seperti yang disebutkan sebelumnya: makefile Copy code [asterisk] enabled = true port = 5060 protocol = udp filter = asterisk logpath = /var/log/asterisk/messages maxretry = 5 findtime = 600 bantime = 3600 Simpan perubahan dan keluar dari editor. Restart fail2ban agar konfigurasi baru berlaku: bash Copy code sudo systemctl restart fail2ban Dengan langkah-langkah ini, Anda telah menambahkan konfigurasi untuk memantau log dari Asterisk menggunakan fail2ban. Untuk memeriksa apakah fail2ban sudah berhasil memblokir alamat IP tertentu, Anda dapat melakukan langkah-langkah berikut: Cek Log fail2ban: Anda dapat melihat log fail2ban untuk melihat apakah ada tindakan yang diambil terhadap alamat IP tertentu. Log ini biasanya berada di /var/log/fail2ban.log. Anda dapat menggunakan perintah cat atau tail untuk melihat log tersebut: bash Copy code sudo cat /var/log/fail2ban.log atau bash Copy code sudo tail -f /var/log/fail2ban.log Periksa Status Jail: Anda dapat menggunakan perintah fail2ban-client untuk memeriksa status jail-jail yang aktif dan apakah ada alamat IP yang telah diblokir: bash Copy code sudo fail2ban-client status Perintah ini akan menampilkan status semua jail yang aktif dan juga jumlah alamat IP yang telah diblokir. Cek iptables: fail2ban menggunakan iptables untuk melakukan pemblokiran alamat IP yang dinyatakan sebagai pelanggar. Anda dapat memeriksa iptables langsung untuk melihat apakah aturan-aturan baru telah ditambahkan untuk memblokir alamat IP: bash Copy code sudo iptables -L Jika fail2ban telah berhasil memblokir alamat IP, Anda akan melihat aturan-aturan tambahan yang telah ditambahkan ke iptables. Dengan menggunakan langkah-langkah di atas, Anda dapat memeriksa apakah fail2ban sudah berhasil memblokir alamat IP yang mencoba melakukan serangan atau pelanggaran terhadap sistem Anda. Pesan kesalahan "Failed to access socket path: /var/run/fail2ban/fail2ban.sock" menunjukkan bahwa fail2ban-client tidak dapat mengakses socket fail2ban yang diperlukan untuk berkomunikasi dengan layanan fail2ban. Pertama, pastikan bahwa fail2ban sedang berjalan. Anda dapat memeriksa statusnya dengan menggunakan perintah: bash Copy code sudo systemctl status fail2ban Jika fail2ban tidak berjalan, Anda dapat mencoba untuk memulai ulang layanan tersebut: bash Copy code sudo systemctl restart fail2ban Setelah memastikan bahwa fail2ban berjalan, periksa kembali statusnya untuk memastikan tidak ada masalah yang muncul. Jika fail2ban berjalan tanpa masalah, coba jalankan kembali perintah fail2ban-client status untuk melihat status jail dan alamat IP yang telah diblokir. Jika pesan kesalahan masih muncul, maka ada kemungkinan masalah terkait izin atau lokasi soket fail2ban. Pastikan pengguna yang menjalankan perintah fail2ban-client memiliki izin untuk mengakses soket fail2ban. Anda dapat mencoba menggunakan sudo saat menjalankan perintah fail2ban-client: bash Copy code sudo fail2ban-client status Jika masalah masih berlanjut, periksa apakah lokasi soket yang diharapkan benar. Lokasi soket fail2ban dapat berbeda tergantung pada konfigurasi sistem. Jika Anda yakin lokasi soket seharusnya ada di /var/run/fail2ban/fail2ban.sock, pastikan bahwa file tersebut memang ada di lokasi yang ditentukan dan memiliki izin yang benar. Dengan memeriksa status layanan, mengonfirmasi bahwa fail2ban berjalan, dan memastikan izin dan lokasi soket yang benar, Anda dapat mengatasi masalah ini. Berikut adalah konfigurasi Fail2Ban yang disesuaikan untuk kebutuhan Asterisk: ini Copy code # Fail2Ban configuration file # # Author: Fail2Ban # # $Revision: 250 $ # [INCLUDES] before = paths-debian.conf [Definition] # Option: failregex # Notes.: Regexp to catch Asterisk SIP failures in the logfile. Please confirm if the log format is consistent with your Asterisk installation. # Values: TEXT # failregex = NOTICE.* .*: Registration from '.*' failed for ':\d{1,5}' - No matching peer found.*$ NOTICE.* .*: Registration from '.*' failed for ':\d{1,5}' - Wrong password.*$ NOTICE.* .*: Registration from '.*' failed for ':\d{1,5}' - Username/auth name mismatch.*$ NOTICE.* .*: Registration from '.*' failed for ':\d{1,5}' - Device does not match ACL.*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = [Init] # "maxlines" is the maximum number of log lines to buffer for multi-line regex searches maxlines = 10 # Filter for matching IPs [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] logpath = /var/log/asterisk/full maxretry = 5 findtime = 600 bantime = 3600 backend = auto # Jail for more extended banning of persistent abusers [recidive] logpath = /var/log/fail2ban.log banaction = iptables-allports bantime = 1w findtime = 1d Simpan konten di atas dalam file bernama asterisk.conf atau asterisk.local di dalam direktori /etc/fail2ban/jail.d/. Pastikan Anda mengonfirmasi bahwa format log Asterisk Anda sesuai dengan pola yang diberikan dalam konfigurasi di atas. Juga, pastikan bahwa jalur file log /var/log/asterisk/full sesuai dengan jalur file log Asterisk di sistem Anda. Jika jalurnya berbeda, Anda perlu menyesuaikan jalur tersebut dalam konfigurasi Fail2Ban. Anda perlu memastikan bahwa jalur file log yang Anda tentukan dalam konfigurasi Fail2Ban benar. Periksa kembali jalur file log Asterisk Anda dan pastikan itu sesuai dengan yang Anda atur di konfigurasi Fail2Ban. Setelah memperbaiki jalur file log, Anda harus menguji kembali layanan Fail2Ban untuk memastikan bahwa itu berfungsi seperti yang diharapkan. Gunakan perintah berikut untuk melihat status layanan Fail2Ban: lua Copy code sudo systemctl status fail2ban Pastikan tidak ada pesan kesalahan dan layanan berjalan dengan baik setelah Anda memperbaiki konfigurasi. Jika ada masalah lebih lanjut, pastikan untuk memeriksa file log Fail2Ban (/var/log/fail2ban.log) untuk pesan kesalahan yang lebih rinci. Untuk melihat daftar IP yang diblokir oleh Fail2Ban, Anda dapat menggunakan perintah fail2ban-client. Berikut adalah cara untuk melihat daftar IP yang diblokir: bash Copy code sudo fail2ban-client status Perintah ini akan menampilkan status Fail2Ban beserta daftar jail yang aktif dan daftar IP yang diblokir oleh masing-masing jail. Jika Anda ingin melihat daftar IP yang diblokir untuk jail tertentu, Anda dapat menggunakan perintah berikut: bash Copy code sudo fail2ban-client status nama-jail Gantilah nama-jail dengan nama jail yang ingin Anda periksa, misalnya sshd atau apache-auth, tergantung pada konfigurasi Fail2Ban Anda.