Logiciel Notions en securité Linux ( 6)

  • Auteur de la discussion Matrix
  • Date de début
M

Matrix

Visiteur
Visiteur
#1
#1
Linux-icon.png
*** Fail2ban ***

Fail2ban va nous permettre de bannir des adresses IP qui ont obtenu un trop grand nombre d’échecs lors de l’authentification ( ssh,ftp,sftp,..etc)
Permet d'enregistrer dans les logs des ip de l'attaquant si il essaie de brutforcer...
Vous pouvez aussi empêcher les scanner de vous scanner aussi...

Grâce à des règles qui peuvent être définies par l’utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache.

L’installation est très facile :

Code: 
aptitude install fail2ban
Les deux seuls fichiers de configuration sont /etc/fail2ban/fail2ban.conf et /etc/fail2ban/jail.conf.

je vous conseille de copier/coller le fichier jail.conf par mesure on c'est jamais si vous faites une bêtise d'avoir toujours le fichier d'origine à côté...

Note :Biensur le fichier d'origine faudra modifier le nom car il ne peut pas avoir de jail.conf qui travaille en même temps... donc des que vous avez copier/coller... mettez l'autre en jailorigine et l'autre en jail.conf

C’est dans ce fichier jail.conf que nous pouvons définir les services que nous voulons surveiller il nous suffira par exemple de placer des blocs comme ci dessous en définissant nos attentes :

exemple :

Code: 
[/U][/SIZE][/COLOR][/CENTER]
[COLOR=rgb(0, 0, 0)][SIZE=5][U][CENTER]
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6


-Nous avons donc dans ce bloc ssh et dans l’ordre :
-l’activation :enabled = true
les ports à bloquer avec les règles iptables :port = ssh
le nom du filtre (expression régulière associée) : filter = sshd
le fichier de log à lire :logpath = /var/log/auth.log
le nombre maximal de tentatives : maxretry = 6

Note : le port ssh de fail2ban ne surveille que le port 22 , si vous changez le port ssh

la ligue du port sera comme çà sur le jail.conf :

port =ssh,sftp,2276

-Il nous faudra ensuite relancer la configuration :

fail2ban-client reload

Pour savoir si cela a bien été pris en compte, nous pouvons effectuer la commande suivante :


Code: 
[/SIZE][/CENTER]
[SIZE=5][CENTER]fail2ban-client status
Status
|- Number of jail: 3
`- Jail list: apache, vsftpd, ssh

On vois que le ssh et apache tourne bien.

Nous pouvons surveiller un service avec :

Code: 
fail2ban-client status ssh
Nous pouvons recevoir un email lors d’un bannissement en ajoutant dans le fichier jail.conf, dans la section :

Code: 
[default] , destemail = exemple@protonmail.com
Pour les logs il se trouve ici :

La lecture des fichiers de logs comme /var/log/auth.log ou /var/log/apache/error_log


*** FIN ***




 
Dernière édition par un modérateur:
Vous devez vous connecter ou vous enregistrer pour répondre ici.