Pengantar

Keamanan server merupakan salah satu aspek penting yang harus diperhatikan oleh setiap pengguna VPS Linux. Salah satu ancaman yang paling sering terjadi adalah serangan brute force, yaitu upaya masuk ke sistem dengan mencoba berbagai kombinasi nama pengguna dan kata sandi secara berulang hingga berhasil mendapatkan akses.

Dalam banyak kasus, serangan ini menargetkan layanan SSH yang secara default berjalan pada port 22. Karena SSH merupakan jalur utama untuk mengelola VPS dari jarak jauh, layanan ini sering menjadi sasaran bot otomatis yang melakukan percobaan login secara terus-menerus.

Apabila tidak dilindungi dengan baik, serangan brute force dapat menimbulkan berbagai risiko, antara lain:

• Meningkatkan penggunaan CPU dan resource server akibat banyaknya percobaan login yang dilakukan secara otomatis.
• Membuka peluang akses tidak sah apabila server menggunakan kata sandi yang lemah atau mudah ditebak.
• Mengganggu stabilitas layanan karena tingginya jumlah koneksi yang masuk secara bersamaan.
• Meningkatkan risiko kompromi server yang dapat berdampak pada keamanan data dan aplikasi yang berjalan di dalamnya.

Untuk mengurangi risiko tersebut, salah satu solusi yang paling banyak digunakan adalah Fail2ban. Aplikasi keamanan ini bekerja dengan memantau log sistem dan mendeteksi aktivitas login yang mencurigakan. Apabila ditemukan sejumlah percobaan login gagal dalam periode tertentu, Fail2ban akan secara otomatis memblokir alamat IP yang dianggap berpotensi melakukan serangan.

Pada panduan ini, Anda akan mempelajari cara menginstal dan mengonfigurasi Fail2ban pada VPS Linux untuk melindungi layanan SSH dari serangan brute force. Seluruh langkah dijelaskan secara bertahap sehingga mudah diikuti, termasuk bagi pengguna yang baru pertama kali menggunakan Fail2ban.

Apa Itu Fail2Ban dan Bagaimana Cara Kerjanya?

Fail2ban merupakan aplikasi keamanan open source berbasis Python yang dirancang untuk melindungi server dari berbagai serangan berbasis autentikasi, terutama serangan brute force. Aplikasi ini bekerja dengan memantau log sistem dan secara otomatis memblokir alamat IP yang terdeteksi melakukan aktivitas mencurigakan melalui firewall.

Fail2ban mendukung berbagai layanan yang umum digunakan pada server Linux, seperti SSH, FTP, Apache, Nginx, Postfix, dan layanan lainnya yang menghasilkan log autentikasi.

Secara umum, Fail2ban bekerja melalui tahapan berikut:

• Memantau berkas log sistem, seperti  /var/log/auth.log pada Ubuntu dan Debian atau  /var/log/secure pada CentOS, AlmaLinux, dan Rocky Linux.
• Mendeteksi pola aktivitas yang mencurigakan, misalnya percobaan login yang gagal berulang kali dalam jangka waktu tertentu.
• Mengidentifikasi alamat IP yang dianggap berpotensi melakukan serangan.
• Menambahkan alamat IP tersebut ke aturan firewall sehingga akses ke server diblokir secara otomatis untuk periode waktu tertentu.

Sebagai contoh, administrator dapat mengatur Fail2ban untuk memblokir alamat IP yang gagal melakukan login SSH sebanyak tiga kali dalam waktu lima menit. Ketika batas tersebut terlampaui, alamat IP akan langsung diblokir tanpa memerlukan tindakan manual dari administrator.

Melalui mekanisme ini, Fail2ban dapat membantu mengurangi risiko keberhasilan serangan brute force dan meningkatkan keamanan server secara otomatis dengan penggunaan resource yang relatif ringan.

Keuntungan Menggunakan Fail2Ban di VPS

Menginstal Fail2ban memberikan berbagai manfaat penting dalam meningkatkan keamanan server. Selain membantu melindungi layanan dari serangan brute force.

Beberapa keuntungan menggunakan Fail2ban antara lain:

• Memberikan perlindungan otomatis terhadap serangan brute force pada layanan seperti SSH, FTP, Postfix, Dovecot, dan layanan lainnya.
• Menyediakan konfigurasi yang fleksibel sehingga administrator dapat menentukan jumlah percobaan login yang diizinkan sebelum alamat IP diblokir.
• Memiliki penggunaan resource yang ringan sehingga tidak membebani kinerja server.
• Membantu menjaga stabilitas server dengan mengurangi beban yang disebabkan oleh percobaan login berulang dari bot atau penyerang.
• Memudahkan proses pemantauan keamanan melalui log dan informasi aktivitas yang tercatat dengan jelas.
• Dapat diintegrasikan dengan firewall untuk memblokir alamat IP yang terindikasi melakukan aktivitas mencurigakan secara otomatis.

Dengan berbagai keunggulan tersebut, Fail2ban menjadi salah satu solusi keamanan yang banyak digunakan oleh administrator Linux untuk melindungi server dari ancaman serangan berbasis autentikasi login.

Langkah-Langkah Instalasi Fail2Ban di Berbagai Distro Linux

1. Menginstal Fail2ban pada Ubuntu dan Debian
   Apabila menggunakan Ubuntu atau Debian, instal Fail2ban dengan menjalankan perintah berikut:

   sudo apt update && sudo apt install fail2ban -y

   Keterangan:
   Perintah tersebut akan memperbarui daftar paket sistem dan menginstal Fail2ban dari repository resmi distribusi Linux yang digunakan.

2. Menginstal Fail2ban pada CentOS dan RHEL
   Untuk pengguna CentOS atau Red Hat Enterprise Linux (RHEL), aktifkan terlebih dahulu repository EPEL sebelum menginstal Fail2ban.

   Jalankan perintah berikut:

   sudo yum install epel-release -y
   sudo yum install fail2ban -y

   Keterangan:
   Repository EPEL (Extra Packages for Enterprise Linux) diperlukan karena paket Fail2ban tidak tersedia pada repository bawaan sebagian versi CentOS dan RHEL.

3. Memastikan Instalasi Berhasil
   Setelah proses instalasi selesai, Fail2ban akan tersedia pada sistem dan siap digunakan.

   Periksa status layanan dengan menjalankan perintah berikut:

   sudo systemctl status fail2ban

   Apabila berhasil, akan muncul status seperti berikut:

   Active: active (running)

   Keterangan:
   Status active (running) menunjukkan bahwa Fail2ban telah berjalan dan siap memantau log sistem untuk mendeteksi aktivitas yang mencurigakan.

Konfigurasi Fail2Ban

Setelah Fail2ban berhasil terinstal, langkah berikutnya adalah mengonfigurasi perlindungan untuk layanan SSH. Konfigurasi ini akan membuat Fail2ban memantau percobaan login yang gagal dan secara otomatis memblokir alamat IP yang terindikasi melakukan serangan brute force.

1. Membuat File Konfigurasi Lokal
   Sebelum melakukan perubahan konfigurasi, salin terlebih dahulu file konfigurasi bawaan Fail2ban ke file jail.local.

   Jalankan perintah berikut:

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

   Keterangan:
   File jail.local digunakan untuk menyimpan konfigurasi kustom. Dengan cara ini, perubahan yang dilakukan tidak akan tertimpa ketika Fail2ban diperbarui melalui package manager.

2. Membuka File Konfigurasi Fail2ban
   Setelah file konfigurasi berhasil dibuat, buka file tersebut menggunakan editor teks.

   Jalankan perintah berikut:

   sudo nano /etc/fail2ban/jail.local

   Keterangan:
   Anda dapat menggunakan editor lain seperti vim atau vi sesuai preferensi masing-masing.

3. Mengaktifkan Proteksi SSH
   Cari bagian konfigurasi [sshd], kemudian pastikan konfigurasi berikut telah tersedia dan dalam keadaan aktif.

   [sshd]
   enabled  = true
   port     = ssh
   filter   = sshd
   logpath  = /var/log/auth.log
   maxretry = 3
   bantime  = 3600

   Penjelasan parameter:

   • enabled : Mengaktifkan perlindungan untuk layanan SSH.
   • port : Port yang digunakan oleh layanan SSH. Secara default menggunakan port 22.
   • filter : Filter log yang digunakan untuk mendeteksi percobaan login SSH yang gagal.
   • logpath : Lokasi file log yang dipantau oleh Fail2ban.
   • maxretry : Jumlah maksimum percobaan login gagal sebelum alamat IP diblokir.
   • bantime : Durasi pemblokiran alamat IP dalam satuan detik.

   Keterangan:
   Pada konfigurasi di atas, alamat IP akan diblokir selama 1 jam setelah gagal melakukan login sebanyak 3 kali.

4. Menyesuaikan Kebijakan Keamanan
   Nilai maxretry dan bantime dapat disesuaikan dengan kebutuhan keamanan server.

   Contoh konfigurasi yang lebih ketat:

   maxretry = 3
   bantime = 86400

   Contoh konfigurasi yang lebih longgar:

   maxretry = 5
   bantime = 1800

   Keterangan:
   Nilai 86400 berarti alamat IP akan diblokir selama 24 jam, sedangkan 1800 berarti pemblokiran berlangsung selama 30 menit.

Menjalankan dan Memeriksa Status Fail2Ban

1. Mengaktifkan dan Menjalankan Fail2ban
   Setelah konfigurasi selesai, aktifkan layanan Fail2ban agar berjalan secara otomatis saat server dinyalakan ulang, kemudian jalankan servicenya.

   Jalankan perintah berikut:

   sudo systemctl enable fail2ban
   sudo systemctl start fail2ban

   Keterangan:
   Perintah enable digunakan untuk menjalankan Fail2ban secara otomatis saat proses booting, sedangkan perintah start digunakan untuk menjalankan layanan secara langsung tanpa perlu me-restart server.

2. Memeriksa Status Proteksi SSH
   Setelah Fail2ban aktif, pastikan jail SSH telah berjalan dengan normal.

   Jalankan perintah berikut:

   sudo fail2ban-client status sshd

   Contoh output:

   Status for the jail: sshd
   |- Filter
   |  |- Currently failed: 1
   |  |- Total failed: 8
   |  `- File list: /var/log/auth.log
   `- Actions
      |- Currently banned: 2
      |- Total banned: 5
      `- Banned IP list: 103.45.67.89 203.0.113.24

   Keterangan:
   Output tersebut menunjukkan bahwa Fail2ban berhasil memantau log SSH dan telah melakukan pemblokiran terhadap alamat IP yang terdeteksi melakukan percobaan login berulang kali.

3. Memahami Informasi Status Fail2ban
   Beberapa informasi penting yang ditampilkan pada hasil pemeriksaan status antara lain:
   • Currently failed : Jumlah percobaan login gagal yang sedang terdeteksi.
   • Total failed : Total percobaan login gagal yang tercatat sejak Fail2ban dijalankan.
   • Currently banned : Jumlah alamat IP yang saat ini sedang diblokir.
   • Total banned : Total alamat IP yang pernah diblokir oleh Fail2ban.
   • Banned IP list : Daftar alamat IP yang sedang berada dalam status blokir.

   Keterangan:
   Apabila terdapat alamat IP pada bagian Banned IP list, berarti Fail2ban telah berhasil mendeteksi dan memblokir aktivitas yang dianggap mencurigakan sesuai aturan yang telah dikonfigurasi.

4. Memeriksa Status Layanan Fail2ban
   Selain memeriksa jail SSH, Anda juga dapat memastikan bahwa service Fail2ban berjalan dengan normal.

   Jalankan perintah berikut:

   sudo systemctl status fail2ban

   Apabila berhasil, akan muncul informasi seperti berikut:

   Active: active (running)

   Keterangan:
   Status active (running) menunjukkan bahwa layanan Fail2ban berjalan dengan baik dan siap memberikan perlindungan terhadap serangan brute force pada server.

Melihat dan Mengelola IP yang Diblokir

Selain melakukan pemblokiran otomatis, Fail2ban juga menyediakan beberapa perintah yang dapat digunakan untuk mengelola alamat IP yang diblokir serta mencegah alamat IP tertentu terkena pemblokiran.

1. Melihat Daftar Alamat IP yang Diblokir
   Untuk melihat informasi jail SSH beserta daftar alamat IP yang sedang diblokir, jalankan perintah berikut:

   sudo fail2ban-client status sshd

   Contoh output:

   Currently banned: 2
   Banned IP list: 103.45.67.89 203.0.113.24

   Keterangan:
   Bagian Banned IP list menampilkan seluruh alamat IP yang saat ini sedang berada dalam status blokir oleh Fail2ban.

2. Membuka Blokir Alamat IP Secara Manual
   Apabila terdapat alamat IP yang terblokir secara tidak sengaja, Anda dapat membuka blokir tersebut secara manual.

   Jalankan perintah berikut:

   sudo fail2ban-client set sshd unbanip ALAMAT_IP

   Contoh:

   sudo fail2ban-client set sshd unbanip 103.55.10.20

   Keterangan:
   Ganti ALAMAT_IP dengan alamat IP yang ingin dikeluarkan dari daftar blokir.

3. Mencegah Alamat IP Sendiri Terblokir
   Untuk menghindari pemblokiran terhadap alamat IP yang sering digunakan untuk mengakses server, tambahkan alamat IP tersebut ke daftar ignoreip.

   Edit file konfigurasi berikut:

   sudo nano /etc/fail2ban/jail.local

   Tambahkan konfigurasi berikut pada bagian atas file sebelum blok [sshd]:

   [DEFAULT]
   ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 103.55.xx.xx

   Keterangan:
   Ganti 103.55.xx.xx dengan alamat IP publik yang digunakan untuk mengakses server.

   Apabila Anda mengakses server dari beberapa lokasi berbeda, tambahkan seluruh alamat IP tersebut pada baris ignoreip dengan dipisahkan menggunakan spasi.

   Untuk mengetahui alamat IP publik yang sedang digunakan, Anda dapat menjalankan perintah berikut:

   curl ifconfig.me

   Keterangan:
   Fail2ban tidak akan memblokir alamat IP yang tercantum pada parameter ignoreip, meskipun terjadi beberapa kali kegagalan login.

4. Memuat Ulang Konfigurasi Fail2ban
   Setelah melakukan perubahan pada file jail.local, muat ulang konfigurasi agar perubahan dapat diterapkan.

   Jalankan perintah berikut:

   sudo systemctl restart fail2ban

   Pastikan layanan kembali berjalan dengan normal:

   sudo systemctl status fail2ban

   Keterangan:
   Proses restart diperlukan agar Fail2ban membaca ulang konfigurasi terbaru yang telah disimpan.

Kesimpulan

Keamanan VPS merupakan proses yang perlu dilakukan secara berkelanjutan. Selain memasang firewall dan menerapkan konfigurasi keamanan dasar, administrator juga perlu melakukan pemantauan sistem secara rutin untuk mendeteksi potensi ancaman sejak dini. Salah satu cara yang dapat dilakukan adalah dengan memeriksa log autentikasi seperti  /var/log/auth.log pada Ubuntu dan Debian atau /var/log/secure  pada CentOS, AlmaLinux, dan Rocky Linux.

Melalui log tersebut, administrator dapat mengetahui adanya percobaan login yang mencurigakan, mengidentifikasi alamat IP yang berpotensi melakukan serangan, serta mengambil tindakan pencegahan sebelum ancaman berkembang menjadi masalah yang lebih serius. Penerapan langkah-langkah sederhana seperti menggunakan SSH Key, membatasi akses login, serta mengaktifkan Fail2ban dapat memberikan peningkatan keamanan yang signifikan pada server.

Dengan mengikuti panduan ini, Anda telah berhasil menginstal dan mengonfigurasi Fail2ban untuk melindungi layanan SSH dari serangan brute force. Perlindungan otomatis yang disediakan oleh Fail2ban memungkinkan server mendeteksi dan memblokir aktivitas mencurigakan tanpa perlu dilakukan secara manual oleh administrator.

Untuk memperoleh tingkat keamanan yang lebih baik, pastikan konfigurasi Fail2ban selalu diperbarui sesuai kebutuhan, lakukan pemantauan log secara berkala, serta terapkan praktik keamanan lainnya yang relevan dengan lingkungan server yang digunakan. Dengan demikian, VPS dapat tetap berjalan secara aman, stabil, dan optimal untuk mendukung berbagai kebutuhan aplikasi maupun layanan yang dijalankan.

Artikel Lain

• Tutorial Deploy Open WebUI di VPS Linux
• Cara Install dan Menjalankan DeepSeek di VPS Ubuntu
• Cara Install Ollama di VPS Ubuntu untuk Menjalankan AI Lokal
• Penanganan VPS Gagal Boot Setelah Upgrade HDD pada Ubuntu
• Cara Membuat Docker Image Node.js dan menjalankan di Kubernetes Cluster
• Cara install wordpress di Kubernetes Cluster
• Panduan Teknis: Berapa Banyak MetaTrader yang Bisa Dijalankan dalam 1 VPS?
• Perintah Command Prompt Windows untuk Perbaikan Sistem Operasi Windows
• Cara install Forex MetaTrader 5 / MT5 di VPS Windows
• Cara Install Banyak Akun MetaTrader MT4/MT5 di VPS Windows

• Cara Reset Password root MySQL 8 di Ubuntu 24.04 atau Almalinux 9
• Instalasi Odoo 18 Menggunakan Nginx dan PostgreSQL di Ubuntu 24.04 LTS
• Cara Setting Load Balancing dengan Nginx di Ubuntu dan AlmaLinux
• Cara Memblokir Port Menggunakan Firewalld di Linux
• Cara Instalasi Dolibarr ERP untuk UMKM dan Startup di Ubuntu 24.04 LTS
• Cara Mudah Monitoring RAID di Linux: Deteksi Disk Degraded Secara Otomatis
• Tutorial Lengkap Uptime Kuma di VPS: Monitoring Website dan Server Secara Real-Time
• Panduan Lengkap Cara Install NetData di VPS untuk Monitoring Server Real-Time
• Panduan Lengkap Cara Install Rapor Digital Madrasah (RDM) di VPS Ubuntu / Debian
• Cara Mengatasi Error 'No Route to Host' di Linux Server dan VPS: Penyebab & Solusi Lengkap