Fail2ban est un outil qui permet d’être alerté et de se protéger des attaques de types bruteforce. Ce programme analyse les logs du système à la recherche d’expressions qui indiqueraient une tentative d’attaque par dictionnaire.

Si un type d’expression prédéfini est trouvé une action est lancée. L’adresse IP source de l’attaque est bloquée par une règle iptables. Un mail peut être envoyé à l’administrateur avec des informations supplémentaires sur l’origine de la menace.

Installation

Très simplement comme toujours

apt-get install fail2ban

ou

aptitude install fail2ban

Configuration

La configuration par défaut est située dans le fichier /etc/fail2ban/jail.conf. Il n’est cependant pas recommandé de modifier ce fichier directement. Copier ce fichier et renommer le jail.local :

cp -a /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Les options principales sont les suivantes :

• ignoreip : ne pas tenir compte des adresses IP définis par cette option
• bantime : temps de bannissement en seconde
• maxretry : nombre de tentatives autorisées avec bannissement

Un exemple de fichier de configuration Fail2ban

Les services

Par défaut seule la protection de ssh est activée. Mais il est possible de surveiller bien d’autres services. Voici par exemple les sections pour postfix et courrier :

[postfix]
enabled  = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log

[courierauth]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log

Conclusion

Sa simplicité d’utilisation et sa flexibilité font de Fail2ban une application indispensable pour se prémunir des attaques par bruteforce.
Voici un exemple de mail envoyé suite à une détection d’attaque : fail2ban : postfix banned

Liens vers les ressources sur fail2ban :

• Le site officiel de fail2ban
• Guide d’installation sur le blog alexdfr

Un petit article pour relayer l’information sur le problème de sécurité de OpenSSL sous Debian. Si vous suivez l’actualité vous aurez remarqué les nombreuses news sur les sujets ces derniers jours. Etant donné qu’un schéma vaut mieux qu’un long discours et qu’un peu d’humour est toujours le bienvenue je vous laisse savourer ce post.

edit : un nouveau dessin bien sympatique sur le blog de loldebian.

Pour faire court il s’agit d’un problème avec le générateur de nombre aléatoire utilisé par OpenSSH et OpenSSL. Toutes les clés délivrées par ces outils depuis deux ans sont affectées. Ceci rend les outils qui les utilisent vulnérables aux attaques par bruteforce et ce en un temps très court (20 minutes à une heure !).

Malgré le nombre impressionnant de services impactés et de clés à régénérer, ne cédons pas à la panique. Il est temps de passer à l’action. Il y de nombreux articles qui traitent déjà des procédures à suivre et je ne vais donc pas reprendre l’intégralité des informations ici.

Voici donc ma sélection de liens sur le sujet qui vous permettra de vous en sortir :

• Le wiki de debian pour faire un point complet sur la situation
• Branle-bas SSH/SSL sur l’excellent blog de Roland Mas
• Un bon résumé sur Debian Administration

Bonne lecture et bonne chance à tous.