evolix/wiki
22
0
Fork 0
Code Releases Activity

Adaptation à Fail2Ban 0.9 de Debian 9 qui a quelques changements importants

Browse source
This commit is contained in:
Gregory Colpart 2018-08-23 12:29:36 +02:00
parent 10ebd0e064
commit 4c958e199a
1 changed files with 23 additions and 12 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

35
HowtoFail2Ban.md
View file

@ -16,7 +16,7 @@ title: Howto Fail2Ban
# apt install fail2ban # apt install fail2ban
# fail2ban-server -V # fail2ban-server -V
Fail2Ban v0.8.13 Fail2Ban v0.9.6
Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors
Copyright of modifications held by their respective authors. Copyright of modifications held by their respective authors.
@ -35,6 +35,8 @@ Fichiers de configuration :
├── fail2ban.conf ├── fail2ban.conf
├── jail.conf ├── jail.conf
├── jail.local ├── jail.local
├── jail.d
│ └── defaults-debian.conf
├── action.d ├── action.d
│ ├── apf.conf │ ├── apf.conf
│ ├── badips.conf │ ├── badips.conf
@ -46,41 +48,50 @@ Fichiers de configuration :
│ ├── apache-auth.conf │ ├── apache-auth.conf
│ ├── apache-badbots.conf │ ├── apache-badbots.conf
│ […] │ […]
└── jail.d ├── paths-common.conf
├── paths-debian.conf
└── paths-opensuse.conf
~~~ ~~~
Fail2Ban repose sur des règles de filtrage définies dans `/etc/fail2ban/filter.d/` et des actions dans `/etc/fail2ban/action.d/`. Fail2Ban repose sur des règles de filtrage définies dans `/etc/fail2ban/filter.d/` et des actions dans `/etc/fail2ban/action.d/`.
On définit ensuite des **jails**, combinaisons d'une règle de filtrage et d'une ou plusieurs actions. On définit ensuite des **jails**, combinaisons d'une règle de filtrage et d'une ou plusieurs actions.
Voici la jail nommée _ssh_ (activée par défaut à l'installation) : Voici la jail nommée _sshd_ (attention, en Debian 8 elle se nommait _ssh_) :
~~~{.ini} ~~~{.ini}
[ssh] [sshd]
enabled = true enabled = true
port = ssh port = ssh
filter = sshd filter = sshd
logpath = /var/log/auth.log logpath = /var/log/auth.log
maxretry = 6 maxretry = 5
findtime = 600
bantime = 600
~~~ ~~~
Cette jail va surveiller le fichier `/var/log/auth.log` via la règle de filtrage `/etc/fail2ban/filter.d/sshd.conf` : Cette jail va surveiller le fichier `/var/log/auth.log` via la règle de filtrage `/etc/fail2ban/filter.d/sshd.conf` :
s'il détecte la correspondance 6 fois en 10 minutes (temps par défaut), il va utiliser l'action par défaut, s'il détecte la correspondance 5 fois en 10 minutes, il va utiliser l'action par défaut,
à savoir l'action `/etc/fail2ban/action.d/iptables-multiport.conf` qui va ajouter une règle _iptables_ pour bannir le port concerné pendant 10 minutes. à savoir l'action `/etc/fail2ban/action.d/iptables-multiport.conf` qui va ajouter une règle _iptables_ pour bannir le port concerné pendant 10 minutes.
**Attention, cette jail _sshd_ est activée par défaut à l'installation via le fichier `jail.d/defaults-debian.conf`**
Les paramètres par défaut sont : Les paramètres par défaut sont :
~~~{.ini} ~~~{.ini}
maxretry = 3 maxretry = 5
findtime = 600 findtime = 600
banaction = iptables-multiport banaction = iptables-multiport
bantime = 600 bantime = 600
ignoreip = 127.0.0.1/8 ignoreip = 127.0.0.1/8
~~~ ~~~
Les paramètres par défaut et un certain nombre de jails (non activées à part _ssh_) sont définies dans `/etc/fail2ban/jail.conf`, > *Note* : en Debian 8, le paramètre par défaut de *maxretry* est `maxretry = 3`
si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local`.
Les paramètres par défaut et un certain nombre de jails (non activées à part _sshd_) sont définies dans `/etc/fail2ban/jail.conf`,
si l'on veut ajouter ou modifier des paramètres ou des jails, il faut utiliser le fichier `/etc/fail2ban/jail.local` ou des fichiers `/etc/fail2ban/jail.d/*.conf`
Pour dumper la configuration courante : Pour dumper la configuration courante :