====== Tutorial Installasi Fail2Ban & Tips Trick ======
Fail2ban adalah applikasi bruteforce detection menggunakan file log sebagai dasar pendeteksian.

===== Installasi fail2ban di Centos =====

<code>
yum install fail2ban -y
</code>

===== Membuat Custom Log File /var/log/fail2ban.log =====
Defaultnya log fail2ban ada di /var/log/messages dan untuk membuat custom log file fail2ban sbb
<code>
nano /etc/fail2ban/fail2ban.conf
</code>
ubah logtarget menjadi seperti ini
<code>
logtarget = /var/log/fail2ban.log
</code>

===== Konfigurasi Fail2Ban Haproxy dan CSF =====
Kami menggunakan fail2ban untuk membaca log haproxy dan memblokirnya dengan CSF. Log yang kami baca adalah aktifitas login menggunakan mekanisme POST pada url wp-login.php

<code>
nano /etc/fail2ban/filter.d/haproxy-wp.conf
</code>

kami isi
<code>
[INCLUDES]
before = common.conf

[Definition]
_daemon = haproxy

failregex = ^.*haproxy\[[0-9]+\]*: <HOST>:.* "POST /wp-login.php HTTP/1.1"$
ignoreregex =
</code>

Pastikan anda sudah menguji regular expresion tersebut dengan menggunakan
<code>
fail2ban-regex /var/log/haproxy.log /etc/fail2ban/filter.d/haproxy-wp.conf
</code>
dan apabila regex nya benar hasilnya seperti ini
<code>
Results
=======

Failregex: 7660 total
|-  #) [# of hits] regular expression
|   1) [7660] ^.*haproxy\[[0-9]+\]*: <HOST>:.* "POST /wp-login.php HTTP/1.1"$
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [520991] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-

Lines: 520991 lines, 0 ignored, 7660 matched, 513331 missed
[processed in 126.74 sec]
</code>

sekitar 7660 baris match dengan regex tersebut.

selanjutnya adalah membuat jail
<code>
nano /etc/fail2ban/jail.d/haproxy-wp.conf
</code>
isi dengan
<code>
[haproxy-wp]
enabled  = true
bantime  = 36000
findtime = 120
maxretry = 6
filter   = haproxy-wp
logpath  = /var/log/haproxy.log
port     = http,https
action   = csf-ip-deny
</code>

selanjutnya membuat action yang di integrasikan dengan CSF.
<code>
nano /etc/fail2ban/action.d/csf-ip-deny.conf
</code>
isi dengan
<code>
# CSF / fail2ban integration from The Digital FAQ (digitalFAQ.com)

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = csf -d <ip> Added by Fail2Ban for <name>
actionunban = csf -dr <ip>

[Init]
name = haproxy-wp
</code>