Menangkal Bruteforce Attack dengan Denyhosts

apabila kita memiliki sebuah server dengan public ip, maka server tersebut sangat rentan dengan serangan-serangan dari luar. brute force attack biasanya dilakukan dengan memaksa masuk [log in] dengan variasi username dan password secara berulang-ulang.

untuk mencegah hal tersebut, kita bisa melakukan pencegahan dengan memblok alamat ip yang gagal log in dalam (misal) tiga kali percobaan. alamat ip tersebut otomatis dimasukan ke dalam file /etc/hosts.deny.

untuk melakukan hal tersebut tidak perlu melakukan scripting sendiri karena sudah ada program kecil tapi reliable yaitu denyhosts. apabila anda menggunakan ubuntu maka program ini sudah ada di repositorynya. anda dapat menggunakan perintah $ sudo apt-get install denyhosts untuk melakukan instalasi di server anda.

detail dari aplikasi denyhosts adalah sebagai berikut:

Package: denyhosts
State: not installed
Version: 2.6-3
Priority: optional
Section: universe/net
Maintainer: Ubuntu MOTU Developers <ubuntu-motu@lists.ubuntu.com>
Uncompressed Size: 451k
Depends: lsb-base (>= 3.1-10), python, python-central (>= 0.6.6)
Conflicts: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4
Replaces: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4
Description: an utility to help sys admins thwart ssh crackers
DenyHosts is a program that automatically blocks ssh brute-force attacks by
adding entries to /etc/hosts.deny. It will also inform Linux administrators
about offending hosts, attacked users and suspicious logins.

Syncronization with a central server is possible too.

Differently from other software that do same work, denyhosts doesn’t need
support for packet filtering or any other kind of firewall in your kernel

selanjutnya untuk melakukan konfigurasi dapat dilakukan dengan mengedit file /etc/denyhosts.conf.

beberapa bagian yang perlu diperhatikan adalah:

SECURE_LOG = /var/log/auth.log <= sesuaikan distro yang anda pakai

BLOCK_SERVICE : sshd <= service yang ingin di pantau, pilihan lain ALL.

DENY_THRESHOLD_INVALID = 3 <= maksudnya 3 kali gagal langsung di blok

ADMIN_EMAIL = user@alamat.email <= agar denyhost mengirimkan laporan melalui email

apabila sudah diinstall dengan baik, maka denyhosts akan langsung bekerja. berikut ini contoh email laporan dari denyhosts.

denyhosts1

Iklan

About andrecht

Andrecht keywords: MUFC;Juventus;Soccer;Ubuntu;Linux;Zaidan; Gnome;Islam;Seafood;Coffee; Noodle;Nirvana;RATM;Rock;T-Shirt;Sleep;Fat; Lihat semua pos milik andrecht

One response to “Menangkal Bruteforce Attack dengan Denyhosts

You must be logged in to post a comment.

%d blogger menyukai ini: