Fail2ban sert a analyser des fichiers de logs et cr\u00e9\u00e9 des r\u00e8gles iptables en fonction des actions que nous aurons d\u00e9finies.<\/p>\n\n\n\n
Par exemple fail2ban va analyser le fichier \/var\/log\/auth.log pour rechercher les connexions ayant \u00e9chou\u00e9es sur notre serveur.<\/p>\n\n\n\n
Les actions sont d\u00e9finies dans un fichier prison (jail.conf)<\/p>\n\n\n\n
<\/p>\n\n\n\n\n\n\n\n
apt-get install fail2ban<\/code><\/pre> <\/div> <\/div><\/div>\n\n\n\nD\u00e9marrage du service fail2ban<\/h1>\n\n\n\n\t service fail2ban start<\/code><\/pre> <\/div> <\/div><\/div>\n\n\n\n Configuration de fail2ban<\/h1>\n\n\n\nFonctionnement<\/h2>\n\n\n\n
Fail2ban founi un grand nombre de d’action qui sont encadr\u00e9es par des balises.<\/p>\n\n\n\n
La d\u00e9finition d’une balise d’encadrement est relativement simple \ud83d\ude42<\/p>\n\n\n\n
\n- [Nom de l’action]<\/li>\n<\/ul>\n\n\n\n
Les champs important d’un action :<\/p>\n\n\n\n
\n- enabled : d\u00e9termine si l’action doit \u00eatre activ\u00e9e par le service\n
\n- true ou false<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- port : d\u00e9termine le port d’\u00e9coute de la r\u00e8gle<\/li>\n\n\n\n
- filter : correspond au filtre (regex) d\u00e9fini dans le r\u00e9pertoire\u00a0\/etc\/fail2ban\/filter.d\/<\/strong><\/li>\n\n\n\n
- logpath : chemin complet du fichier de log \u00e0 analys\u00e9<\/li>\n<\/ul>\n\n\n\n
Les variables par d\u00e9faut d\u00e9fines dans le fichier jail.conf peuvent \u00eatre surcharger directement depuis une action. Cela peut \u00eatre interressant si par exemple on ne veut pas utiliser le maxretry par d\u00e9faut.<\/p>\n\n\n\n
Mise en place des actions<\/h2>\n\n\n\nCr\u00e9ation du fichier jail.local<\/h3>\n\n\n\n
Afin de surcharger la configuration par d\u00e9faut de jail2ban nous allons cr\u00e9er le fichier jail.local.<\/p>\n\n\n
\n\t touch \/etc\/fail2ban\/jail.local<\/code><\/pre> <\/div> <\/div><\/div>\n\n\n\nUne fois notre fichier local cr\u00e9\u00e9 nous pouvons personnaliser notre configuration<\/p>\n\n\n\n
Configuration<\/h2>\n\n\n\nComportement par d\u00e9faut<\/h3>\n\n\n\n
En modifiant le fichier \/etc\/fail2ban\/jail.conf nous allons d\u00e9finir le comportement par d\u00e9faut de fail2ban<\/p>\n\n\n
\n\t [DEFAULT]Dans ce d\u00e9but de fichier les lignes importantes sont :<\/p>\n\n\n\n
\n- ignoreip = 127.0.0.1\/8\n
\n- Par d\u00e9faut fail2ban ignore l’ip local. vous pouvez rajouter d’autres ip ou plage d’ip en utilisant la virgule comme s\u00e9parateur<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- bantime = 600\n
\n- D\u00e9fini le temps de bannissement des vilaines ip qui nous attaquent. Perso je mets 604800 Sec soit 7 jours.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- findtime = 600\n
\n- D\u00e9termine la dur\u00e9e maximum entre la premi\u00e8re tentative et le nombre maximum de tetative de connexion<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- maxretry = 3\n
\n- Corrrespond au nombre maximum de tentatives de connexion<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- destemail = root@localhost\n
\n- Correspond au champs \u00ab\u00a0to :\u00a0\u00bb des mails de notifications<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- sendername = Fail2Ban\n
\n- L’alias du champ \u00ab\u00a0from :\u00a0\u00bb dans le message.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- sender = fail2ban@localhost\n
\n- Adresse mail du champs \u00ab\u00a0from :\u00a0\u00bb du message<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Il n’y a rien de plus a faire pour ce fichier. Nous pouvons maintenant personnaliser le fichier jail.local<\/p>\n\n\n\n
Le fichier jail.local<\/h1>\n\n\n\nPr\u00e9sentation<\/h2>\n\n\n\n
C’est le fichier qui nous permettra de personnaliser les actions d\u00e9finies dans le fichier jail.conf.<\/p>\n\n\n\n
Il est aussi possible de personnaliser les champs du chapitre pr\u00e9c\u00e9dent dans ce fichier.<\/p>\n\n\n\n
En effet, toutes variables ou action d\u00e9finies dans le fichier jail.local seront prioritaires sur celles d\u00e9finie dans le fichier jail.conf.<\/p>\n\n\n\n
Personnalisation des actions<\/h2>\n\n\n\n
Rappel : pour qu’une action soit active, il faut positionner la vairable enabled \u00e0 \u00ab\u00a0true\u00a0\u00bb.<\/strong><\/em><\/p>\n\n\n\nbanir les tentatives de connexion ssh echou\u00e9es<\/h3>\n\n\n\n
ci-dessous la regle ssh :<\/p>\n\n\n
\n\t [ssh]Ici le maxretry est positionn\u00e9 \u00e0 3. Si c’est la valeur par d\u00e9faut dans le fichier jail.conf ce champs est facultatif.<\/p>\n\n\n\n
bannir les attaques ddos<\/h3>\n\n\n\n\t [ssh-ddos]bannir les attaques sur nginx<\/h3>\n\n\n\nhttp-get-dos<\/h4>\n\n\n\n\t [http-get-dos]Tentatives de connexion \u00e0 un site web<\/h3>\n\n\n\n\t [nginx-auth] <\/p>\n","protected":false},"excerpt":{"rendered":"
Pr\u00e9sentation de fail2ban A quoi \u00e7a sert ? Fail2ban sert a analyser des fichiers de logs et cr\u00e9\u00e9 des r\u00e8gles iptables en fonction des actions que nous aurons d\u00e9finies. Par exemple fail2ban va analyser le fichier \/var\/log\/auth.log pour rechercher les connexions ayant \u00e9chou\u00e9es sur notre serveur. Les actions sont d\u00e9finies dans un fichier prison (jail.conf) … Continuer la lecture de « Installation et configuration de fail2ban »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-297","post","type-post","status-publish","format-standard","hentry","category-non-classe"],"_links":{"self":[{"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/posts\/297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=297"}],"version-history":[{"count":4,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/posts\/297\/revisions"}],"predecessor-version":[{"id":494,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=\/wp\/v2\/posts\/297\/revisions\/494"}],"wp:attachment":[{"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/communaute-omr.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}