Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:fail2ban [02-10-2012 07:54] – créée edmc73
+++ linux:fail2ban [30-09-2020 13:06] (Version actuelle) – edmc73
@@ Ligne 4: / Ligne 4: @@
 Fail2Ban est un script qui analyse les log du système et exécute des actions suivant ce qu'on lui dit de trouver dans ces logs.
-Par exemple : Trop de tentaive de connexion à ssh qui échoue => on bannit l'adresse ip pendant un certain temps.
+Par exemple : Trop de tentative de connexion à ssh qui échoue => on bannit l'adresse ip pendant un certain temps.
+Avec l'usage, je me rend compte que fail2ban n'est pas adapté pour le bruteforce ssh en masse.
+Il devient lent et met plusieurs minutes à bannir une ip. Je conseille fail2ban plus pour lutter contre les exploitations de faille de sécurité sur apache.
+Je vais tester DenyHosts qui ne se concentre que sur les attaques bruteforce ssh => https://wiki.debian.org/fr/DenyHosts
 ===== Installation =====
@@ Ligne 13: / Ligne 18: @@
 Le fichier de config est la : **/etc/fail2ban/fail2ban.conf**
-Un fichier permet de configurer l'activation des règles : **/etc/fail2ban/jail.conf**
+Un fichier permet de configurer l'activation des règles : **/etc/fail2ban/jail.local**
+Le fichier **/etc/fail2ban/jail.conf** est le fichier par défaut et ne doit pas être modifié.
 Tous les filtres se trouvent dans **/etc/fail2ban/filter.d/**
@@ Ligne 20: / Ligne 27: @@
 D'autres règles peuvent être trouvé par là => http://j2c.org/informatique/linux/fail2ban.php
+Et d'autres règles aussi par là => http://forums.ovh.com/showpost.php?p=269688&postcount=14
 ===== Commandes utiles =====
-Vérifier un filtre
+==== Vérifier un filtre ====
   fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-404.conf | less
@@ Ligne 91: / Ligne 101: @@
 information.
+</code>
+==== Vérifier qui est banni ====
+Pour voir les prisons en cours
+<code>
+# fail2ban-client status
+Status
+|- Number of jail:	1
+`- Jail list:		ssh
 </code>
+Pour voir le contenu d'une prison
+<code>
+# fail2ban-client status ssh
+Status for the jail: ssh
+|- filter
+|  |- File list:	/var/log/auth.log
+|  |- Currently failed:	1
+|  `- Total failed:	7
+`- action
+   |- Currently banned:	1
+   |  `- IP list:	91.121.40.63
+   `- Total banned:	1
+</code>
+Sinon avec iptables
+<code># iptables-save
+# Generated by iptables-save v1.4.14 on Tue Jun 24 16:08:30 2014
+*filter
+:INPUT ACCEPT [668:59799]
+:FORWARD ACCEPT [0:0]
+:OUTPUT ACCEPT [562:87424]
+:fail2ban-ssh - [0:0]
+-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
+-A fail2ban-ssh -s 91.121.40.63/32 -j DROP
+-A fail2ban-ssh -j RETURN
+COMMIT
+# Completed on Tue Jun 24 16:08:30 2014
+</code>
+Pour bannir
+  fail2ban-client set [nom du jail] banip [IP à bannir]
+ou (ancienne version)
+  iptables -I fail2ban-ssh 1 -s 212.196.204.209 -j REJECT --reject-with icmp-port-unreachable
+ou (nouvelle version)
+  iptables -I f2b-sshd 1 -s 212.196.204.209 -j REJECT --reject-with icmp-port-unreachable
+Pour dé-bannir
+  fail2ban-client set [nom du jail] unbanip [IP concerné]
+ou (ancienne version)
+  iptables -D fail2ban-ssh -s 91.121.40.63/32 -j REJECT --reject-with icmp-port-unreachable
+ou (nouvelle version)
+  iptables -D f2b-sshd -s 91.121.40.63/32 -j REJECT --reject-with icmp-port-unreachable

Outils pour utilisateurs

Outils du site

Différences

Outils de la page