Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fail2ban [Le 19/05/2021, 22:50] – [Tester les filtres] 88.163.42.137fail2ban [Le 10/01/2026, 19:50] (Version actuelle) – [Configuration] le dump de la configuration n'apporte rien sauf pour débogage 78.196.241.242
Ligne 1: Ligne 1:
 {{tag>serveur sécurité pare-feu }} {{tag>serveur sécurité pare-feu }}
  
----- +====== Bannir des IP avec fail2ban ======
-====== Bannir des IP avec fail2ban - v2020 ======+
  
 {{ :fail2ban_logo.png?90}} {{ :fail2ban_logo.png?90}}
Ligne 21: Ligne 20:
 Si la réponse comporte du rouge et le mot "failed" " sur la ligne commençant par "Active :", les dernières lignes du message indiquent les raisons de l'échec et permettent sa correction avant un nouvel essai, à tenter après lecture du reste de cet article. Si la réponse comporte du rouge et le mot "failed" " sur la ligne commençant par "Active :", les dernières lignes du message indiquent les raisons de l'échec et permettent sa correction avant un nouvel essai, à tenter après lecture du reste de cet article.
  
-Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif. +Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif.
  
 ===== Configuration ===== ===== Configuration =====
-<note important>Il est vivement déconseillé de modifier les fichiers de configuration **/etc/fail2ban/fail2ban.conf** et **/etc/fail2ban/jail.conf** (notamment car ils peuvent être écrasés par une mise à jour). Ces fichiers contiennent les configurations de base qu'on peut **surcharger** au moyen d'un ou plusieurs fichiers enregistrés dans **/etc/fail2ban/jail.d**\\ Le fichier **/etc/fail2ban/jail.conf**  doit servir uniquement de référence et de documentation.</note>+<note important>Il est vivement déconseillé de modifier les fichiers de configuration **/etc/fail2ban/fail2ban.conf** et **/etc/fail2ban/jail.conf** (notamment car ils peuvent être écrasés par une mise à jour). Ces fichiers contiennent les configurations de base qu'on peut **surcharger** au moyen d'un ou plusieurs fichiers *.conf enregistrés dans **/etc/fail2ban/jail.d**\\ Le fichier **/etc/fail2ban/jail.conf**  doit servir uniquement de référence et de documentation.\\ 
 +Les tutoriels utilisent souvent, à tort, le fichier **/etc/fail2ban/jail.local** pour gérer sa configuration.</note> 
 + 
 ==== Généralités ==== ==== Généralités ====
  
Ligne 30: Ligne 32:
 Un serveur avec un accès SSH sur le port standard, par exemple, recevra très rapidement des centaines, voire des milliers de tentatives de connexions provenant de différentes machines. Ce sont généralement des attaques par force brute lancées par des robots.\\ Un serveur avec un accès SSH sur le port standard, par exemple, recevra très rapidement des centaines, voire des milliers de tentatives de connexions provenant de différentes machines. Ce sont généralement des attaques par force brute lancées par des robots.\\
 Fail2ban en analysant les logs permet de bannir les IP au bout d'un certain nombre de tentatives ce qui limitera le remplissage des logs et l'utilisation de la bande passante. \\ Fail2ban en analysant les logs permet de bannir les IP au bout d'un certain nombre de tentatives ce qui limitera le remplissage des logs et l'utilisation de la bande passante. \\
-Ceci va également rendre les attaques par force brute ou par dictionnaire beaucoup plus difficiles mais ce n'est pas une sécurité absolue contre ce type d'attaque.+Ceci va également rendre les attaques par force brute ou par dictionnaire beaucoup plus longues mais ce n'est pas une sécurité absolue contre ce type d'attaque.
  
 **Mais cela n'améliore en rien la sécurité du service concerné**. Si l'accès SSH n'est pas suffisamment sécurisé (mot de passe faible par exemple) fail2ban n'empêchera pas un attaquant d'arriver à ses fins.\\ **Mais cela n'améliore en rien la sécurité du service concerné**. Si l'accès SSH n'est pas suffisamment sécurisé (mot de passe faible par exemple) fail2ban n'empêchera pas un attaquant d'arriver à ses fins.\\
Ligne 45: Ligne 47:
 La directive **ignoreip** permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir. La directive **ignoreip** permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir.
  
-Il faut créer le fichier dans **/etc/fail2ban/jail.d/custom.conf** (ou un autre nom de votre choix) contenant :+Il faut créer le fichier dans **/etc/fail2ban/jail.d/jail.local** (ou un autre nom de votre choix avec l'exstension //.local// comme conseillée((src: https://github.com/fail2ban/fail2ban/wiki/Proper-fail2ban-configuration))) contenant :
  
 <code>[DEFAULT] <code>[DEFAULT]
Ligne 55: Ligne 57:
   * ignoreip ⇒ votre IP (ici 124.32.5.48) en plus de l'interface de bouclage ;   * ignoreip ⇒ votre IP (ici 124.32.5.48) en plus de l'interface de bouclage ;
   * findtime = 10m (10 minutes), 3600 secondes (une heure)   * findtime = 10m (10 minutes), 3600 secondes (une heure)
-  * bantime = 24h (24 heures) ou 86400 secondes +  * bantime = 24h (24 heures) ou 86400 secondes
   * maxretry = 3 (une IP sera bannie après 3 tentatives de connexion avortées).   * maxretry = 3 (une IP sera bannie après 3 tentatives de connexion avortées).
  
Ligne 72: Ligne 74:
 Il indique : Il indique :
   * **port** = les ports à bloquer au moyen des règles [[:iptables]] ;   * **port** = les ports à bloquer au moyen des règles [[:iptables]] ;
-  * **logpath** = l'emplacement des fichiers de log à surveiller ; +  * **logpath** = l'emplacement des fichiers de log à surveiller ;
   * **backend** = le moteur de surveillance des logs.   * **backend** = le moteur de surveillance des logs.
 Les valeurs représentées ainsi **%(sshd_logs)s** sont des variables qui sont définies dans d'autres fichiers de configuration : **paths_common.conf** et **paths_debian.conf** notamment. Les valeurs représentées ainsi **%(sshd_logs)s** sont des variables qui sont définies dans d'autres fichiers de configuration : **paths_common.conf** et **paths_debian.conf** notamment.
  
-Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/custom.conf +Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/jail.local 
-<file - /etc/fail2ban/jail.d/custom.conf >+<file - /etc/fail2ban/jail.d/jail.local >
 [sshd] [sshd]
 enabled = true enabled = true
Ligne 87: Ligne 89:
 Si vous avez besoin de spécifier un port (par exemple, quand SSH n'est pas en écoute sur un port standard, un fichier de log particulier, ou un nombre de tentatives différent de la valeur par défaut, précisez-le : Si vous avez besoin de spécifier un port (par exemple, quand SSH n'est pas en écoute sur un port standard, un fichier de log particulier, ou un nombre de tentatives différent de la valeur par défaut, précisez-le :
  
-<file - /etc/fail2ban/jail.d/custom.conf >+<file - /etc/fail2ban/jail.d/jail.local >
 [sshd] [sshd]
 enabled = true enabled = true
Ligne 123: Ligne 125:
 Attention ! Pensez à régler la valeur de **bantime** sur un temps assez court si vous faites ce genre d’essais afin de pouvoir vous reconnecter à votre serveur. Attention ! Pensez à régler la valeur de **bantime** sur un temps assez court si vous faites ce genre d’essais afin de pouvoir vous reconnecter à votre serveur.
  
-Côté serveur vous pouvez également surveiller ce qu'il se passe avec la commande +Côté serveur vous pouvez également surveiller ce qu'il se passe avec la commande
 <code>sudo fail2ban-client status sshd</code> <code>sudo fail2ban-client status sshd</code>
 qui dans ce cas vous retournera le statut de la prison « sshd » (avec le nombre de tentatives échouées et la liste des IP bannies) qui dans ce cas vous retournera le statut de la prison « sshd » (avec le nombre de tentatives échouées et la liste des IP bannies)
Ligne 142: Ligne 144:
  
 Il est possible de recevoir un courriel après chaque bannissement d'une adresse IP.\\ Il est possible de recevoir un courriel après chaque bannissement d'une adresse IP.\\
-Pour cela vous pouvez définir globalement l'adresse du destinataire dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/custom.conf** : +Pour cela vous pouvez définir globalement l'adresse du destinataire dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/jail.local** :
 <code>destemail = adresse@example.com</code> <code>destemail = adresse@example.com</code>
 Il faut que le système soit correctement configuré pour l'envoi de courriels, par exemple avec [[ssmtp|ssmtp]]. Il faut que le système soit correctement configuré pour l'envoi de courriels, par exemple avec [[ssmtp|ssmtp]].
Ligne 150: Ligne 152:
 Pour voir les messages locaux (si vous avez laissé une adresse e-mail du type @localhost), il vous faudra ouvrir un terminal et taper la commande "mail" ou, plus simplement encore, consulter le fichier **/var/mail/votrelogin**. Pour voir les messages locaux (si vous avez laissé une adresse e-mail du type @localhost), il vous faudra ouvrir un terminal et taper la commande "mail" ou, plus simplement encore, consulter le fichier **/var/mail/votrelogin**.
  
-**Pour activer l'envoi de courriels**, ajoutez la ligne dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/custom.conf**+**Pour activer l'envoi de courriels**, ajoutez la ligne dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/jail.local**
  
 <code>action = %(action_mw)s </code> <code>action = %(action_mw)s </code>
Ligne 161: Ligne 163:
 <code>sudo systemctl restart fail2ban</code> <code>sudo systemctl restart fail2ban</code>
  
-Des informations complémentaires sont disponibles sur le site officiel de Fail2ban : +Des informations complémentaires sont disponibles sur le site officiel de Fail2ban :
 [[http://www.fail2ban.org/wiki/index.php/FAQ_french#J.27utilise_Postfix_sur_mon_syst.C3.A8me_mais_je_n.27ai_pas_de_commande_.22mail.22._Comment_recevoir_les_notifications_par_mail.3F|FAQ Fail2ban]] [[http://www.fail2ban.org/wiki/index.php/FAQ_french#J.27utilise_Postfix_sur_mon_syst.C3.A8me_mais_je_n.27ai_pas_de_commande_.22mail.22._Comment_recevoir_les_notifications_par_mail.3F|FAQ Fail2ban]]
  
Ligne 184: Ligne 186:
 Si vous avez créé vos propres filtres, modifié des filtres existants, ou si vous voulez simplement tester un filtre sur un fichier de log particulier, l'outil fail2ban-regex est fait pour vous.\\ Si vous avez créé vos propres filtres, modifié des filtres existants, ou si vous voulez simplement tester un filtre sur un fichier de log particulier, l'outil fail2ban-regex est fait pour vous.\\
  
-Par exemple pour teste le filtre apache-badbots sur le fichier journal d'Apache :+Par exemplepour tester le filtre apache-badbots sur le fichier journal d'Apache :
  
 <code>fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-badbots.conf</code> <code>fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-badbots.conf</code>
Ligne 205: Ligne 207:
  
 ==== Bannir manuellement une IP sur l'un de vos jails ==== ==== Bannir manuellement une IP sur l'un de vos jails ====
-Vous voulez tester plus rapidement l'interdiction d'un accès d'un PC, ou bloquer une personne malveillante. Renseignez son IP dans cette commande : +Vous voulez tester plus rapidement l'interdiction d'un accès d'un PC, ou bloquer une personne malveillante. Renseignez son IP dans cette commande :
 <code>fail2ban-client set [nom du jail] banip [IP à bannir]</code> <code>fail2ban-client set [nom du jail] banip [IP à bannir]</code>
 <note important>Une fois la commande validée, votre pare-feu, iptables, va empêcher la machine en question de se connecter. ATTENTION, de ne pas mettre votre propre adresse IP, si vous le faites à distance.</note> <note important>Une fois la commande validée, votre pare-feu, iptables, va empêcher la machine en question de se connecter. ATTENTION, de ne pas mettre votre propre adresse IP, si vous le faites à distance.</note>
Ligne 211: Ligne 213:
 ===== Alternatives à fail2ban ===== ===== Alternatives à fail2ban =====
  
-  * [[https://yalis.fr/git/yves/pyruse/|Pyruse]] Pyruse est une alternative légère à fail2ban qui utilise systemd-journal +  * [[https://www.sshguard.net/|SSHGuard]] est une alternative à Fail2ban présent dans les dépôts Ubuntu 
-  * [[https://github.com/clearlinux/tallow|Tallow]] Tallow est une alternative légère à fail2ban qui utilise systemd-journal+  * [[https://github.com/clearlinux/tallow|Tallow]] est une alternative légère à Fail2ban qui utilise systemd-journal 
  
 ===== Ressources ===== ===== Ressources =====
   * (en) [[https://github.com/fail2ban/fail2ban|fail2ban sur github (depuis 2011) avec un wiki!]]   * (en) [[https://github.com/fail2ban/fail2ban|fail2ban sur github (depuis 2011) avec un wiki!]]
-  * (en) [[http://www.fail2ban.org/wiki/index.php/Main_Page|Le site de fail2ban]]+  * (en) [[https://github.com/fail2ban/fail2ban/wiki/Proper-fail2ban-configuration|Page officielle sur la configuration]]
  
   * (fr) [[https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban|Wiki non officiel de fail2ban]] (Commandes fail2ban, Exemples fail2ban, ressources complémentaires...)   * (fr) [[https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban|Wiki non officiel de fail2ban]] (Commandes fail2ban, Exemples fail2ban, ressources complémentaires...)
  
 +----
  
---- //[[:utilisateurs:bruno|bruno]] Le 15/03/201810:24// +//Contributeurs : [[:utilisateurs:bruno|bruno]], [[:utilisateurs:Zer00CooL|Zer00CooL]], [[:utilisateurs:bcag2|bcag2]]//
---- //[[:utilisateurs:Zer00CooL|Zer00CooL]] Le 25/03/202015:45//+
  
fail2ban.1621457408.txt.gz · Dernière modification : de 88.163.42.137
CC Attribution-Noncommercial 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial 4.0 International