fail2ban

Rédigé par Paulo Aucun commentaire
Classé dans : Linux Mots clés : fail2ban


Protection brute force avec fail2ban :
Protection très facile à mettre en oeuvre, fail2ban surveille le fichier /var.log/auth pour repérer les tentaives ratées 
de connexion sur le serveur.
Il s'appuie sur 2 composants :
- iptables
- inotify
Fichiers de conf : 
- conf perso dans /etc/fail2ban/jaild.d/paulo.conf
- ajout éventuel de filtre (si non prévu...) dans /etc/fail2ban/filter.d
Le principe consiste à 'enabler' un filtre dans le fichier de conf (le filtre doit exister !!!)

  1. Installation compliquée comme d'hab : 
    $ sudo apt-get install fail2ban

     

  2. perso du fichier de conf pour sshd :

    # sur ma Debian pour le service sshd :
# blocage d'une journée pour une machine qui réalise 3 tentatives ratées en 1 heure.
$cat /etc/fail2ban/jail.d/defaults-debian.conf
   [sshd]
   enabled = true
   findtime = 3600      # 1 heure
   bantime = 86400      # 1 journee
   maxretry = 3         # nombre de tentative
   port = 7322          # si port ssh personnalisé
#NB : bantime = -1 --> permanent ban

#relance du service si modif du fichier de conf
sudo systemctl restart fail2ban.service
     

  3. personnalisation du fichier de conf pour nginx :

    [nginx-botsearch]
enabled = true

[nginx-http-auth]
enabled = true

[nginx-limit-req]
enabled = true
  4. test config fail2ban
    $sudo fail2ban-client status

$sudo fail2ban-client status nginx-botsearch

     

  5. source : 
    https://medspx.fr/blog/Sysadmin/configurer_fail2ban/
    https://ubuntu101.co.za/security/fail2ban/fail2ban-persistent-bans-ubuntu/
    https://www.fail2ban.org/wiki/index.php/Main_Page
    https://www.digitalocean.com/community/tutorials/how-to-protect-an-nginx-server-with-fail2ban-on-ubuntu-14-04
    https://www.noobunbox.net/serveur/securite/bloquer-les-attaques-ddos-avec-nginx-fail2ban
    https://wiki.debian-fr.xyz/Fail2ban
    https://buzut.fr/installer-et-parametrer-fail2ban/
    http://support.moonpoint.com/os/unix/linux/fail2ban-unban.php
     
  6. verifier/supprimer les ip bannies ..
    # status des différents filtres (et les ip emprisonnées...)
$ for i in nginx-nohome nginx-noscript nginx-http-auth nginx-limit-req sshd;do sudo fail2ban-client status $i;done

# liberer une ip de la prison
$ sudo fail2ban-client set nginx-noscript unbanip 192.168.1.254



	 



	 



	 



	 



	 


					


					
					
	
	
	

		Les commentaires sont fermés.