Fail2ban
Fail2ban est un outil qui permet d'être alerté et de se protéger des attaques de types bruteforce. Ce programme analyse les logs du système à la recherche d'expressions qui indiqueraient une tentative d'attaque par dictionnaire.
Si un type d'expression prédéfini est trouvé une action est lancée. L'adresse IP source de l'attaque est bloquée par une règle iptables. Un mail peut être envoyé à l'administrateur avec des informations supplémentaires sur l'origine de la menace.
Installation
Très simplement comme toujours :)
apt-get install fail2ban
ou
aptitude install fail2ban
Configuration
La configuration par défaut est située dans le fichier /etc/fail2ban/jail.conf. Il n'est cependant pas recommandé de modifier ce fichier directement. Copier ce fichier et renommer le jail.local :
cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Les options principales sont les suivantes :
- ignoreip : ne pas tenir compte des adresses IP définis par cette option
- bantime : temps de bannissement en seconde
- maxretry : nombre de tentatives autorisées avec bannissement
Un exemple de fichier de configuration Fail2ban
Les services
Par défaut seule la protection de ssh est activée. Mais il est possible de surveiller bien d'autres services. Voici par exemple les sections pour postfix et courrier :
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
[courierauth]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log
Conclusion
Sa simplicité d'utilisation et sa flexibilité font de Fail2ban une application indispensable pour se prémunir des attaques par bruteforce.
Voici un exemple de mail envoyé suite à une détection d'attaque : fail2ban : postfix banned
Liens vers les ressources sur fail2ban :
Flux RSS
Commentaires récents
- avantage de denyhost par rapport a fail2ban
il y a 18 semaines 1 jour - YESSSSSSS !!!!!!!
Ecoute,
il y a 45 semaines 2 jours - Bonsoir Nico, Je suis très
il y a 40 semaines 1 jour - Hello Nico,
Oui Asus c'est
il y a 1 an 32 semaines - bonjour Jonathan Dray
tout
il y a 1 an 32 semaines - Bonjour,
même combat : mon
il y a 1 an 33 semaines - j y ai pensé mais je vais
il y a 1 an 35 semaines - Mais de rien :)
En ce qui
il y a 1 an 35 semaines - salut jonathan et merci de me
il y a 1 an 35 semaines - Nico -> J'ai pourtant
il y a 1 an 35 semaines
avantage de denyhost par rapport a fail2ban
bon voila je vais essaye de faire simple et de bien m expliquer
avant j'était un fervant utilisateur du soft cite si dessus mais au court de plusieur attaque de mes serveurs j ai constate que fail2ban etait impuissant a bloque les attaque massive ! je suis passer a denyhost et la miracle bcp plus reactive pour le banissement d ip
j ai pu aussi constate deux avantage actuellement la mise a jour des ip blackliste via un db publique et la possibilite de garde des ip sure bien cela fonctionne sur tout les service possible ftp ssh http snmp et le reste a essayer ;)