Vote

Fail2Ban est un script surveillant les accès réseau grâce aux logs des serveurs.

Lorsque Fail2ban décèle des erreurs d’authentification répétées, il prend des contre-mesures en bannissant l’adresse IP grâce à IPtables.

Cela permet d’éviter nombre d’attaques bruteforce et/ou par dictionnaire.

Fail2Ban se base sur un système de prisons (jails) que l’on peut définir, activer ou désactiver dans un simple fichier de configuration (/etc/fail2ban/jail.conf).


Installation

L’installation s’effectue via la commande suivante :


Configuration

La configuration s’effectue à partir du fichier suivant :

Niveau de détail des logs (défaut 3)

Chemin vers le fichier de log (description des actions entreprises par fail2ban)

Les services à monitorer sont stockés dans jail.conf
Il est recommandé d’en effectuer une copie nommée jail.local qui sera automatiquement utilisée à la place du fichier exemple.

Quelques paramètres globaux :

Liste des adresses IP de confiance à ignorer par fail2ban

Temps de ban en secondes

Nombre d’essais autorisés pour une connexion avant d’être banni

Adresse e-mail destinataire des notifications

Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s’ils sont mentionnés :

Monitoring activé (true) ou non (false)

Voir ci-dessus

Port IP concerné

Fichier de log à analyser pour détecter des anomalies

Filtre utilisé pour l’analyser du log

Les filtres par défaut sont stockés dans /etc/fail2ban/filter.d. Ils contiennent en général une instruction failregex suivie d’une expression régulière matchant la détection d’une authentification erronée.

Par exemple pour le service Courier :

Note : Celle-ci peut être précisée directement dans jail.local à la section appropriée pour prendre le pas sur la directive filter.

Exemple avec d’une configuration pour une jail ssh :

Vous pouvez aussi modifier le port si nécessaire :

Une fois les modifications effectuées, fail2ban doit être redémarré :

Pour lister les adresses IP bannies :

On remarque bien 3 IP bloquées dans l’exemple ci-dessous :


Fail2ban-client

Cette commande permet d’effectuer un grand nombre d’action comme changer le loglevel unban une IP changer une regex le tout à la volé.Néanmoins les modifications ne sont pas sauvegardés si elles ne sont pas rajoutés dans les fichiers de configuration. En cas de redémarrage du service ou du serveur, vous perdez vos manipulation. Cela reste un bon outil pour debug ou effectuer une action rapide.

Exemple d’un deban d’IP sans restart (donc en gardant le reste des IP bloquées) : ssh-iptables étant le nom de la jail

 


Catégories : SystèmeTutoriaux

JN Community

Les Ressources, en particulier les tutoriaux, présupposent que l’Utilisateur qui décide de les mettre en œuvre dispose des connaissances, des compétences et de l’expérience nécessaire pour cette mise en œuvre. L’Utilisateur disposant d’une connaissance, compétence et/ou expérience limitée ou insuffisante doit absolument s’abstenir de mettre en œuvre les Ressources par lui-même.
Jaguar Network décline toute responsabilité quant aux conséquences dommageables de la mise en œuvre des Ressources, notamment sur les infrastructures informatiques de l’Utilisateur, de ses commettants ou préposés ou de tout tiers.
Il est précisé en tant que de besoin que toute intervention de Jaguar Network visant à réparer les dommages causés par la mise en œuvre des Ressources par un Utilisateur ne disposant pas des connaissances, compétences et/ou expériences suffisantes sera facturée et fera l’objet d’un devis préalable et d’un bon de commande aux conditions des contrats Jaguar Network en vigueur.

Articles similaires

Système

Les redirections sous Nginx

Vote En utilisant Nginx, vous pouvez avoir besoin de mettre en place des redirections. Ce tutoriel va vous guider sur la mise en place de ces redirections en configurant vos vhosts. Articles similaires

Sécurité

Protéger un fichier ou répertoire de la suppression sous Linux

En tant qu’administrateur, il peut être utile d’empêcher un fichier ou un répertoire d’être supprimé de votre système. Articles similaires

Système

Attribuer des droits root à un utilisateur (sudo) sous Linux

Il peut nécessaire pour diverses raisons d’attribuer temporairement ou non des droits root à un utilisateur, ce tutoriel explique ce principe. Articles similaires