Fail2ban

De Asso Val Libre
Aller à : navigation, rechercher


Fail2ban lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP de la source. Source: http://doc.ubuntu-fr.org/fail2ban



 ATTENTION: Ne téléchargez jamais un logiciel en dehors de son site officiel de diffusion ou de celui de votre distribution 
            ÉVITEZ les sites dits de téléchargements gratuits

Les liens ci-dessous sont donnés à titre indicatif et automatiquement générés. Certains peuvent être invalides.
  • [ Site officiel]



FramaLibre

youtube

  • [ Portail francophone]

ubuntu-fr

stackoverflow

duckduckgo

launchpad


La propriété « Domaine » (comme le type de page) avec la valeur d’entrée « {{{domaine}}} » contient des caractères non valides ou est incomplète, et donc peut provoquer des résultats inattendus lors d’une requête ou d’un processus d’annotation.
[[Category:{{{domaine}}}]]

Éditer le fichier de conf:

 nano /etc/fail2ban/jail.conf

Modifier le blocage par défaut (600s), pour un blocage de 1h (3600s), ou même 1 journée (86400s), ou pourquoi pas 1 semaine (604800s). Le findtime doit également être ajusté:

 [DEFAULT]
 ignoreip = 127.0.0.1 8.8.8.8
 findtime = 3600
 bantime = 86400

Dans la partie jail vous trouverez des blocs du type :

 [ssh]
 enabled = true
 port    = ssh,sftp
 filter  = sshd
 logpath  = /var/log/auth.log
 maxretry = 6

Il indique, par ordre, l'activation, les ports à bloquer avec les règles iptables, le nom du filtre (expression régulière) associé, le fichier de log à lire, le nombre maximal de tentatives.

Un certain nombre de services disposent de tels blocs de configuration, vous pouvez les activer en passant si besoin false à true.

Attention, sur la ligne "port", "ssh" n'est qu'un alias pour le port standard, i.e. 22; si vous avez changé le port ssh dans la configuration de OpenSSH (comme il est recommandé de le faire pour éviter les robots qui testent le port 22 par défaut), il faut le préciser à fail2ban ! Dans la configuration ci-dessus, ajoutez à la ligne "port", votre port SSH, par exemple port =ssh,sftp,2276 si votre nouveau port ssh est 2276, sans quoi fail2ban ne surveillera que le port 22.

- Vérifier si les prisons ont été correctement lancées:

 sudo fail2ban-client status

- Surveiller les tentatives de connexions et IP bannies:

 sudo fail2ban-client status ssh