ajour sshd-invaliduser

HowtoFail2Ban.md

@@ -275,6 +275,43 @@ action = iptables-multiport
 
 ## Exemples
 
+### SSH invalid user
+
+Le but de cette règle est de bannir immédiatement si une connexion SSH a lieu sur un utilisateur invalide. Très efficace contre les robots qui font des bruteforce massivement distribués.
+
+On ajoute la règle `filter.d/sshd-invaliduser.conf` :
+
+~~~
+[INCLUDES]
+before = common.conf
+ 
+[Definition]
+_daemon = sshd
+ 
+failregex = ^%(__prefix_line)s[iI](?:llegal|nvalid) user .*? from <HOST>(?: port \d+)?\s*$
+ignoreregex = 
+ 
+[Init]
+journalmatch = _SYSTEMD_UNIT=sshd.service + _COMM=sshd
+~~~
+
+> **Note** : Par fois la regex ne matche pas, on pourra mettre une regex moins rigide :
+
+~~~
+failregex = (I|i)nvalid user \S+ from <HOST> .*$
+~~~
+
+puis on définit une jail ainsi :
+
+~~~{.ini}
+[sshd-invaliduser]
+enabled = true
+maxretry = 1
+port    = ssh,2222
+logpath = %(sshd_log)s
+backend = %(sshd_backend)s
+~~~
+
 ### Dovecot
 
 On ajoute la règle `filter.d/evolix-dovecot.conf` :
@@ -295,7 +332,7 @@ port = pop3,pop3s,imap,imaps
 logpath = /var/log/mail.log
 ~~~
 
-## Courier
+### Courier
 
 On utilise la règle _courierlogin_ prédéfinie pour la jail :
 
@@ -308,7 +345,7 @@ filter   = courierlogin
 logpath  = /var/log/mail.log
 ~~~
 
-## Postfix SASL
+### Postfix SASL
 
 La règle SASL ne convient pas, il faut la modifier via une nouvelle règle `filter.d/evolix-sasl.conf` :
 
@@ -329,7 +366,7 @@ filter   = evolix-sasl
 logpath  = /var/log/mail.log
 ~~~
 
-## Apache / Nginx
+### Apache / Nginx
 
 Grâce aux journaux *access_log* générés par Apache / Nginx, on peut utiliser Fail2Ban comme protection sur certaines URLs ou l'ensemble des requêtes.
 Cela peut être des règles activées en permanence ou des règles spécifiques pour répondre à une attaque DOS ou « brute force » en cours.