Fail2ban

De Asso Val Libre
Aller à : navigation, rechercher
Protection vis à vis des attaques réseaux
 Copies d'écrans
Les liens ci-dessous sont donnés à titre indicatif et automatiquement générés. Certains peuvent être invalides.
  • [FIXME Home Site officiel]

youtube

ubuntu-fr

stackoverflow

duckduckgo

guix

launchpad 

 ATTENTION: Ne téléchargez jamais un logiciel en dehors de son site officiel de diffusion ou de celui de votre distribution 
            ÉVITEZ les sites dits de téléchargements gratuits


Flatpak
Rechercher si un paquet Flatpak correspondant fail2ban est disponible à l'adresse ci-dessous
https://flathub.org/apps/search/fail2ban
Utiliser alors votre magasin de logiciels pour installer le flatpak souhaité

Fail2ban lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP de la source. Source: http://doc.ubuntu-fr.org/fail2ban

Éditer le fichier de conf:

 nano /etc/fail2ban/jail.conf

Modifier le blocage par défaut (600s), pour un blocage de 1h (3600s), ou même 1 journée (86400s), ou pourquoi pas 1 semaine (604800s). Le findtime doit également être ajusté: 

 [DEFAULT]
 ignoreip = 127.0.0.1 8.8.8.8
 findtime = 3600
 bantime = 86400

Dans la partie jail vous trouverez des blocs du type : 

 [ssh]
 enabled = true
 port    = ssh,sftp
 filter  = sshd
 logpath  = /var/log/auth.log
 maxretry = 6

Il indique, par ordre, l'activation, les ports à bloquer avec les règles iptables, le nom du filtre (expression régulière) associé, le fichier de log à lire, le nombre maximal de tentatives.

Un certain nombre de services disposent de tels blocs de configuration, vous pouvez les activer en passant si besoin false à true.

Attention, sur la ligne "port", "ssh" n'est qu'un alias pour le port standard, i.e. 22; si vous avez changé le port ssh dans la configuration de OpenSSH (comme il est recommandé de le faire pour éviter les robots qui testent le port 22 par défaut), il faut le préciser à fail2ban ! Dans la configuration ci-dessus, ajoutez à la ligne "port", votre port SSH, par exemple port =ssh,sftp,2276 si votre nouveau port ssh est 2276, sans quoi fail2ban ne surveillera que le port 22.

- Vérifier si les prisons ont été correctement lancées: 

 sudo fail2ban-client status

- Surveiller les tentatives de connexions et IP bannies: 

 sudo fail2ban-client status ssh

Récupérée de « http://www.wiki.vallibre.fr/index.php?title=Fail2ban&oldid=10453 »