ajour sshd-invaliduser
This commit is contained in:
parent
fbcaf99511
commit
40d3293ee9
|
@ -275,6 +275,43 @@ action = iptables-multiport
|
|||
|
||||
## Exemples
|
||||
|
||||
### SSH invalid user
|
||||
|
||||
Le but de cette règle est de bannir immédiatement si une connexion SSH a lieu sur un utilisateur invalide. Très efficace contre les robots qui font des bruteforce massivement distribués.
|
||||
|
||||
On ajoute la règle `filter.d/sshd-invaliduser.conf` :
|
||||
|
||||
~~~
|
||||
[INCLUDES]
|
||||
before = common.conf
|
||||
|
||||
[Definition]
|
||||
_daemon = sshd
|
||||
|
||||
failregex = ^%(__prefix_line)s[iI](?:llegal|nvalid) user .*? from <HOST>(?: port \d+)?\s*$
|
||||
ignoreregex =
|
||||
|
||||
[Init]
|
||||
journalmatch = _SYSTEMD_UNIT=sshd.service + _COMM=sshd
|
||||
~~~
|
||||
|
||||
> **Note** : Par fois la regex ne matche pas, on pourra mettre une regex moins rigide :
|
||||
|
||||
~~~
|
||||
failregex = (I|i)nvalid user \S+ from <HOST> .*$
|
||||
~~~
|
||||
|
||||
puis on définit une jail ainsi :
|
||||
|
||||
~~~{.ini}
|
||||
[sshd-invaliduser]
|
||||
enabled = true
|
||||
maxretry = 1
|
||||
port = ssh,2222
|
||||
logpath = %(sshd_log)s
|
||||
backend = %(sshd_backend)s
|
||||
~~~
|
||||
|
||||
### Dovecot
|
||||
|
||||
On ajoute la règle `filter.d/evolix-dovecot.conf` :
|
||||
|
@ -295,7 +332,7 @@ port = pop3,pop3s,imap,imaps
|
|||
logpath = /var/log/mail.log
|
||||
~~~
|
||||
|
||||
## Courier
|
||||
### Courier
|
||||
|
||||
On utilise la règle _courierlogin_ prédéfinie pour la jail :
|
||||
|
||||
|
@ -308,7 +345,7 @@ filter = courierlogin
|
|||
logpath = /var/log/mail.log
|
||||
~~~
|
||||
|
||||
## Postfix SASL
|
||||
### Postfix SASL
|
||||
|
||||
La règle SASL ne convient pas, il faut la modifier via une nouvelle règle `filter.d/evolix-sasl.conf` :
|
||||
|
||||
|
@ -329,7 +366,7 @@ filter = evolix-sasl
|
|||
logpath = /var/log/mail.log
|
||||
~~~
|
||||
|
||||
## Apache / Nginx
|
||||
### Apache / Nginx
|
||||
|
||||
Grâce aux journaux *access_log* générés par Apache / Nginx, on peut utiliser Fail2Ban comme protection sur certaines URLs ou l'ensemble des requêtes.
|
||||
Cela peut être des règles activées en permanence ou des règles spécifiques pour répondre à une attaque DOS ou « brute force » en cours.
|
||||
|
|
Loading…
Reference in New Issue