18
0
Fork 0

Adaptation à Fail2Ban 0.9 de Debian 9 qui a quelques changements importants

This commit is contained in:
Gregory Colpart 2018-08-23 12:29:36 +02:00
parent 10ebd0e064
commit 4c958e199a
1 changed files with 23 additions and 12 deletions

View File

@ -16,7 +16,7 @@ title: Howto Fail2Ban
# apt install fail2ban
# fail2ban-server -V
Fail2Ban v0.8.13
Fail2Ban v0.9.6
Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors
Copyright of modifications held by their respective authors.
@ -35,6 +35,8 @@ Fichiers de configuration :
├── fail2ban.conf
├── jail.conf
├── jail.local
├── jail.d
│ └── defaults-debian.conf
├── action.d
│ ├── apf.conf
│ ├── badips.conf
@ -46,41 +48,50 @@ Fichiers de configuration :
│ ├── apache-auth.conf
│ ├── apache-badbots.conf
│ […]
└── jail.d
├── paths-common.conf
├── paths-debian.conf
└── paths-opensuse.conf
~~~
Fail2Ban repose sur des règles de filtrage définies dans `/etc/fail2ban/filter.d/` et des actions dans `/etc/fail2ban/action.d/`.
On définit ensuite des **jails**, combinaisons d'une règle de filtrage et d'une ou plusieurs actions.
Voici la jail nommée _ssh_ (activée par défaut à l'installation) :
Voici la jail nommée _sshd_ (attention, en Debian 8 elle se nommait _ssh_) :
~~~{.ini}
[ssh]
[sshd]
enabled = true
port = ssh
filter = sshd
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
maxretry = 5
findtime = 600
bantime = 600
~~~
Cette jail va surveiller le fichier `/var/log/auth.log` via la règle de filtrage `/etc/fail2ban/filter.d/sshd.conf` :
s'il détecte la correspondance 6 fois en 10 minutes (temps par défaut), il va utiliser l'action par défaut,
s'il détecte la correspondance 5 fois en 10 minutes, il va utiliser l'action par défaut,
à savoir l'action `/etc/fail2ban/action.d/iptables-multiport.conf` qui va ajouter une règle _iptables_ pour bannir le port concerné pendant 10 minutes.
**Attention, cette jail _sshd_ est activée par défaut à l'installation via le fichier `jail.d/defaults-debian.conf`**
Les paramètres par défaut sont :
~~~{.ini}
maxretry = 3
maxretry = 5
findtime = 600
banaction = iptables-multiport
bantime = 600
ignoreip = 127.0.0.1/8
~~~
Les paramètres par défaut et un certain nombre de jails (non activées à part _ssh_) sont définies dans `/etc/fail2ban/jail.conf`,
si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local`.
> *Note* : en Debian 8, le paramètre par défaut de *maxretry* est `maxretry = 3`
Les paramètres par défaut et un certain nombre de jails (non activées à part _sshd_) sont définies dans `/etc/fail2ban/jail.conf`,
si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local` ou des fichiers `/etc/fail2ban/jail.d/*.conf`
Pour dumper la configuration courante :