From 4c958e199a86d99f17f10e3795d51da21424f99d Mon Sep 17 00:00:00 2001 From: Gregory Colpart Date: Thu, 23 Aug 2018 12:29:36 +0200 Subject: [PATCH] =?UTF-8?q?Adaptation=20=C3=A0=20Fail2Ban=200.9=20de=20Deb?= =?UTF-8?q?ian=209=20qui=20a=20quelques=20changements=20importants?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoFail2Ban.md | 35 +++++++++++++++++++++++------------ 1 file changed, 23 insertions(+), 12 deletions(-) diff --git a/HowtoFail2Ban.md b/HowtoFail2Ban.md index 61b49088..0d4bccf5 100644 --- a/HowtoFail2Ban.md +++ b/HowtoFail2Ban.md @@ -16,7 +16,7 @@ title: Howto Fail2Ban # apt install fail2ban # fail2ban-server -V -Fail2Ban v0.8.13 +Fail2Ban v0.9.6 Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors Copyright of modifications held by their respective authors. @@ -35,6 +35,8 @@ Fichiers de configuration : ├── fail2ban.conf ├── jail.conf ├── jail.local +├── jail.d +│ └── defaults-debian.conf ├── action.d │ ├── apf.conf │ ├── badips.conf @@ -46,41 +48,50 @@ Fichiers de configuration : │ ├── apache-auth.conf │ ├── apache-badbots.conf │ […] -└── jail.d +├── paths-common.conf +├── paths-debian.conf +└── paths-opensuse.conf ~~~ Fail2Ban repose sur des règles de filtrage définies dans `/etc/fail2ban/filter.d/` et des actions dans `/etc/fail2ban/action.d/`. On définit ensuite des **jails**, combinaisons d'une règle de filtrage et d'une ou plusieurs actions. -Voici la jail nommée _ssh_ (activée par défaut à l'installation) : +Voici la jail nommée _sshd_ (attention, en Debian 8 elle se nommait _ssh_) : ~~~{.ini} -[ssh] +[sshd] -enabled = true -port = ssh -filter = sshd +enabled = true +port = ssh +filter = sshd logpath = /var/log/auth.log -maxretry = 6 +maxretry = 5 +findtime = 600 +bantime = 600 ~~~ Cette jail va surveiller le fichier `/var/log/auth.log` via la règle de filtrage `/etc/fail2ban/filter.d/sshd.conf` : -s'il détecte la correspondance 6 fois en 10 minutes (temps par défaut), il va utiliser l'action par défaut, +s'il détecte la correspondance 5 fois en 10 minutes, il va utiliser l'action par défaut, à savoir l'action `/etc/fail2ban/action.d/iptables-multiport.conf` qui va ajouter une règle _iptables_ pour bannir le port concerné pendant 10 minutes. +**Attention, cette jail _sshd_ est activée par défaut à l'installation via le fichier `jail.d/defaults-debian.conf`** + Les paramètres par défaut sont : ~~~{.ini} -maxretry = 3 +maxretry = 5 findtime = 600 banaction = iptables-multiport bantime = 600 ignoreip = 127.0.0.1/8 ~~~ -Les paramètres par défaut et un certain nombre de jails (non activées à part _ssh_) sont définies dans `/etc/fail2ban/jail.conf`, -si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local`. +> *Note* : en Debian 8, le paramètre par défaut de *maxretry* est `maxretry = 3` + +Les paramètres par défaut et un certain nombre de jails (non activées à part _sshd_) sont définies dans `/etc/fail2ban/jail.conf`, +si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local` ou des fichiers `/etc/fail2ban/jail.d/*.conf` + Pour dumper la configuration courante :