Outils pour utilisateurs

Outils du site

Piste:
linux:fail2ban (lu 58853 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
linux:fail2ban [04-04-2013 22:06]
127.0.0.1 modification externe 		linux:fail2ban [30-09-2020 15:06] (Version actuelle)
edmc73
Ligne 4: Ligne 4:
 Fail2Ban est un script qui analyse les log du système et exécute des actions suivant ce qu'on lui dit de trouver dans ces logs. Fail2Ban est un script qui analyse les log du système et exécute des actions suivant ce qu'on lui dit de trouver dans ces logs.
  
-Par exemple : Trop de tentaive de connexion à ssh qui échoue => on bannit l'adresse ip pendant un certain temps.+Par exemple : Trop de tentative de connexion à ssh qui échoue => on bannit l'adresse ip pendant un certain temps. 
 + 
 +Avec l'usage, je me rend compte que fail2ban n'est pas adapté pour le bruteforce ssh en masse. 
 +Il devient lent et met plusieurs minutes à bannir une ip. Je conseille fail2ban plus pour lutter contre les exploitations de faille de sécurité sur apache. 
 + 
 +Je vais tester DenyHosts qui ne se concentre que sur les attaques bruteforce ssh => https://wiki.debian.org/fr/DenyHosts
  
 ===== Installation ===== ===== Installation =====
Ligne 13: Ligne 18:
 Le fichier de config est la : **/etc/fail2ban/fail2ban.conf** Le fichier de config est la : **/etc/fail2ban/fail2ban.conf**
      
-Un fichier permet de configurer l'activation des règles : **/etc/fail2ban/jail.conf**+Un fichier permet de configurer l'activation des règles : **/etc/fail2ban/jail.local** 
 + 
 +Le fichier **/etc/fail2ban/jail.conf** est le fichier par défaut et ne doit pas être modifié.
      
 Tous les filtres se trouvent dans **/etc/fail2ban/filter.d/** Tous les filtres se trouvent dans **/etc/fail2ban/filter.d/**
Ligne 25: Ligne 32:
 ===== Commandes utiles ===== ===== Commandes utiles =====
  
-Vérifier un filtre+==== Vérifier un filtre ==== 
   fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-404.conf | less   fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/apache-404.conf | less
      
Ligne 93: Ligne 101:
 information. information.
  
 +</code>
  
 +==== Vérifier qui est banni ====
 +
 +Pour voir les prisons en cours
 +<code>
 +# fail2ban-client status
 +Status
 +|- Number of jail: 1
 +`- Jail list: ssh
 </code> </code>
 +
 +Pour voir le contenu d'une prison
 +<code>
 +# fail2ban-client status ssh
 +Status for the jail: ssh
 +|- filter
 +|  |- File list: /var/log/auth.log 
 +|  |- Currently failed: 1
 +|  `- Total failed: 7
 +`- action
 +   |- Currently banned: 1
 +    `- IP list: 91.121.40.63 
 +   `- Total banned: 1
 +</code>
 +
 +
 +Sinon avec iptables
 +<code># iptables-save
 +# Generated by iptables-save v1.4.14 on Tue Jun 24 16:08:30 2014
 +*filter
 +:INPUT ACCEPT [668:59799]
 +:FORWARD ACCEPT [0:0]
 +:OUTPUT ACCEPT [562:87424]
 +:fail2ban-ssh - [0:0]
 +-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
 +-A fail2ban-ssh -s 91.121.40.63/32 -j DROP
 +-A fail2ban-ssh -j RETURN
 +COMMIT
 +# Completed on Tue Jun 24 16:08:30 2014
 +</code>
 +
 +Pour bannir
 +  fail2ban-client set [nom du jail] banip [IP à bannir]
 +ou (ancienne version)
 +  iptables -I fail2ban-ssh 1 -s 212.196.204.209 -j REJECT --reject-with icmp-port-unreachable
 +ou (nouvelle version)
 +  iptables -I f2b-sshd 1 -s 212.196.204.209 -j REJECT --reject-with icmp-port-unreachable
 +
 +Pour dé-bannir
 +  fail2ban-client set [nom du jail] unbanip [IP concerné]
 +ou (ancienne version)
 +  iptables -D fail2ban-ssh -s 91.121.40.63/32 -j REJECT --reject-with icmp-port-unreachable
 +ou (nouvelle version)
 +  iptables -D f2b-sshd -s 91.121.40.63/32 -j REJECT --reject-with icmp-port-unreachable
 +  
linux/fail2ban.1365105981.txt.gz · Dernière modification: 24-06-2014 15:53 (modification externe)

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki