Fail2ban

Source: http://doc.ubuntu-fr.org/fail2ban

Fail2ban lit les logs de divers serveurs (SSH, Apache, FTP…) à la recherche d'erreurs d'authentification répétées et ajoute une règle iptables pour bannir l'adresse IP de la source.

Editer le fichier de conf:

 nano /etc/fail2ban/jail.conf

Modifier le blocage par défaut (600s), pour un blocage de 1h (3600s), ou même 1 journée (86400s), ou pourquoi pas 1 semaine (604800s). Le findtime doit également être ajusté:

 [DEFAULT]
 ignoreip = 127.0.0.1 8.8.8.8
 findtime = 3600
 bantime = 86400

Dans la partie jail vous trouverez des blocs du type :

 [ssh]
 enabled = true
 port    = ssh,sftp
 filter  = sshd
 logpath  = /var/log/auth.log
 maxretry = 6

Il indique, par ordre, l'activation, les ports à bloquer avec les règles iptables, le nom du filtre (expression régulière) associé, le fichier de log à lire, le nombre maximal de tentatives.

Un certain nombre de services disposent de tels blocs de configuration, vous pouvez les activer en passant si besoin false à true.

Attention, sur la ligne "port", "ssh" n'est qu'un alias pour le port standard, i.e. 22; si vous avez changé le port ssh dans la configuration de OpenSSH (comme il est recommandé de le faire pour éviter les robots qui testent le port 22 par défaut), il faut le préciser à fail2ban ! Dans la configuration ci-dessus, ajoutez à la ligne "port", votre port SSH, par exemple port =ssh,sftp,2276 si votre nouveau port ssh est 2276, sans quoi fail2ban ne surveillera que le port 22.

- Vérifier si les prisons ont été correctement lancées:

 sudo fail2ban-client status

- Surveiller les tentatives de connexions et IP bannies:

 sudo fail2ban-client status ssh