| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| fail2ban [Le 04/10/2024, 16:59] – [Dé-bannir une IP de l'un de vos jails] 82.127.153.161 | fail2ban [Le 10/01/2026, 19:50] (Version actuelle) – [Configuration] le dump de la configuration n'apporte rien sauf pour débogage 78.196.241.242 |
|---|
| |
| ===== Configuration ===== | ===== Configuration ===== |
| <note important>Il est vivement déconseillé de modifier les fichiers de configuration **/etc/fail2ban/fail2ban.conf** et **/etc/fail2ban/jail.conf** (notamment car ils peuvent être écrasés par une mise à jour). Ces fichiers contiennent les configurations de base qu'on peut **surcharger** au moyen d'un ou plusieurs fichiers enregistrés dans **/etc/fail2ban/jail.d**\\ Le fichier **/etc/fail2ban/jail.conf** doit servir uniquement de référence et de documentation.</note> | <note important>Il est vivement déconseillé de modifier les fichiers de configuration **/etc/fail2ban/fail2ban.conf** et **/etc/fail2ban/jail.conf** (notamment car ils peuvent être écrasés par une mise à jour). Ces fichiers contiennent les configurations de base qu'on peut **surcharger** au moyen d'un ou plusieurs fichiers *.conf enregistrés dans **/etc/fail2ban/jail.d**\\ Le fichier **/etc/fail2ban/jail.conf** doit servir uniquement de référence et de documentation.\\ |
| | Les tutoriels utilisent souvent, à tort, le fichier **/etc/fail2ban/jail.local** pour gérer sa configuration.</note> |
| | |
| ==== Généralités ==== | ==== Généralités ==== |
| |
| La directive **ignoreip** permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir. | La directive **ignoreip** permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir. |
| |
| Il faut créer le fichier dans **/etc/fail2ban/jail.d/custom.conf** (ou un autre nom de votre choix) contenant : | Il faut créer le fichier dans **/etc/fail2ban/jail.d/jail.local** (ou un autre nom de votre choix avec l'exstension //.local// comme conseillée((src: https://github.com/fail2ban/fail2ban/wiki/Proper-fail2ban-configuration))) contenant : |
| |
| <code>[DEFAULT] | <code>[DEFAULT] |
| Les valeurs représentées ainsi **%(sshd_logs)s** sont des variables qui sont définies dans d'autres fichiers de configuration : **paths_common.conf** et **paths_debian.conf** notamment. | Les valeurs représentées ainsi **%(sshd_logs)s** sont des variables qui sont définies dans d'autres fichiers de configuration : **paths_common.conf** et **paths_debian.conf** notamment. |
| |
| Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/custom.conf : | Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/jail.local : |
| <file - /etc/fail2ban/jail.d/custom.conf > | <file - /etc/fail2ban/jail.d/jail.local > |
| [sshd] | [sshd] |
| enabled = true | enabled = true |
| Si vous avez besoin de spécifier un port (par exemple, quand SSH n'est pas en écoute sur un port standard, un fichier de log particulier, ou un nombre de tentatives différent de la valeur par défaut, précisez-le : | Si vous avez besoin de spécifier un port (par exemple, quand SSH n'est pas en écoute sur un port standard, un fichier de log particulier, ou un nombre de tentatives différent de la valeur par défaut, précisez-le : |
| |
| <file - /etc/fail2ban/jail.d/custom.conf > | <file - /etc/fail2ban/jail.d/jail.local > |
| [sshd] | [sshd] |
| enabled = true | enabled = true |
| |
| Il est possible de recevoir un courriel après chaque bannissement d'une adresse IP.\\ | Il est possible de recevoir un courriel après chaque bannissement d'une adresse IP.\\ |
| Pour cela vous pouvez définir globalement l'adresse du destinataire dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/custom.conf** : | Pour cela vous pouvez définir globalement l'adresse du destinataire dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/jail.local** : |
| <code>destemail = adresse@example.com</code> | <code>destemail = adresse@example.com</code> |
| Il faut que le système soit correctement configuré pour l'envoi de courriels, par exemple avec [[ssmtp|ssmtp]]. | Il faut que le système soit correctement configuré pour l'envoi de courriels, par exemple avec [[ssmtp|ssmtp]]. |
| Pour voir les messages locaux (si vous avez laissé une adresse e-mail du type @localhost), il vous faudra ouvrir un terminal et taper la commande "mail" ou, plus simplement encore, consulter le fichier **/var/mail/votrelogin**. | Pour voir les messages locaux (si vous avez laissé une adresse e-mail du type @localhost), il vous faudra ouvrir un terminal et taper la commande "mail" ou, plus simplement encore, consulter le fichier **/var/mail/votrelogin**. |
| |
| **Pour activer l'envoi de courriels**, ajoutez la ligne dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/custom.conf** | **Pour activer l'envoi de courriels**, ajoutez la ligne dans la section [DEFAULT] du fichier **/etc/fail2ban/jail.d/jail.local** |
| |
| <code>action = %(action_mw)s </code> | <code>action = %(action_mw)s </code> |
| <code>fail2ban-client set [nom du jail] unbanip [IP concerné]</code> | <code>fail2ban-client set [nom du jail] unbanip [IP concerné]</code> |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| la | |
| ==== Bannir manuellement une IP sur l'un de vos jails ==== | ==== Bannir manuellement une IP sur l'un de vos jails ==== |
| Vous voulez tester plus rapidement l'interdiction d'un accès d'un PC, ou bloquer une personne malveillante. Renseignez son IP dans cette commande : | Vous voulez tester plus rapidement l'interdiction d'un accès d'un PC, ou bloquer une personne malveillante. Renseignez son IP dans cette commande : |
| ===== Ressources ===== | ===== Ressources ===== |
| * (en) [[https://github.com/fail2ban/fail2ban|fail2ban sur github (depuis 2011) avec un wiki!]] | * (en) [[https://github.com/fail2ban/fail2ban|fail2ban sur github (depuis 2011) avec un wiki!]] |
| * (en) [[http://www.fail2ban.org/wiki/index.php/Main_Page|Le site de fail2ban]] | * (en) [[https://github.com/fail2ban/fail2ban/wiki/Proper-fail2ban-configuration|Page officielle sur la configuration]] |
| |
| * (fr) [[https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban|Wiki non officiel de fail2ban]] (Commandes fail2ban, Exemples fail2ban, ressources complémentaires...) | * (fr) [[https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban|Wiki non officiel de fail2ban]] (Commandes fail2ban, Exemples fail2ban, ressources complémentaires...) |
| |
| | ---- |
| |
| --- //[[:utilisateurs:bruno|bruno]] Le 15/03/2018, 10:24// | //Contributeurs : [[:utilisateurs:bruno|bruno]], [[:utilisateurs:Zer00CooL|Zer00CooL]], [[:utilisateurs:bcag2|bcag2]]// |
| --- //[[:utilisateurs:Zer00CooL|Zer00CooL]] Le 25/03/2020, 15:45// | |
| |
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial 4.0 International