fail2ban
Rédigé par Paulo
Aucun commentaire
Classé dans : Linux
Protection brute force avec fail2ban :
Protection très facile à mettre en oeuvre, fail2ban surveille le fichier /var.log/auth pour repérer les tentaives ratées
de connexion sur le serveur.
Il s'appuie sur 2 composants :
- iptables
- inotify
Fichiers de conf :
- conf perso dans /etc/fail2ban/jaild.d/paulo.conf
- ajout éventuel de filtre (si non prévu...) dans /etc/fail2ban/filter.d
Le principe consiste à 'enabler' un filtre dans le fichier de conf (le filtre doit exister !!!)
-
Installation compliquée comme d'hab :
$ sudo apt-get install fail2ban
-
perso du fichier de conf pour sshd :
# sur ma Debian pour le service sshd : # blocage d'une journée pour une machine qui réalise 3 tentatives ratées en 1 heure. $cat /etc/fail2ban/jail.d/defaults-debian.conf [sshd] enabled = true findtime = 3600 # 1 heure bantime = 86400 # 1 journee maxretry = 3 # nombre de tentative port = 7322 # si port ssh personnalisé #NB : bantime = -1 --> permanent ban #relance du service si modif du fichier de conf sudo systemctl restart fail2ban.service
-
personnalisation du fichier de conf pour nginx :
[nginx-botsearch] enabled = true [nginx-http-auth] enabled = true [nginx-limit-req] enabled = true
-
test config fail2ban
$sudo fail2ban-client status $sudo fail2ban-client status nginx-botsearch
-
source :
https://medspx.fr/blog/Sysadmin/configurer_fail2ban/
https://ubuntu101.co.za/security/fail2ban/fail2ban-persistent-bans-ubuntu/
https://www.fail2ban.org/wiki/index.php/Main_Page
https://www.digitalocean.com/community/tutorials/how-to-protect-an-nginx-server-with-fail2ban-on-ubuntu-14-04
https://www.noobunbox.net/serveur/securite/bloquer-les-attaques-ddos-avec-nginx-fail2ban
https://wiki.debian-fr.xyz/Fail2ban
https://buzut.fr/installer-et-parametrer-fail2ban/
http://support.moonpoint.com/os/unix/linux/fail2ban-unban.php
-
verifier/supprimer les ip bannies ..
# status des différents filtres (et les ip emprisonnées...) $ for i in nginx-nohome nginx-noscript nginx-http-auth nginx-limit-req sshd;do sudo fail2ban-client status $i;done # liberer une ip de la prison $ sudo fail2ban-client set nginx-noscript unbanip 192.168.1.254