Bannir des IP avec fail2ban

fail2ban est une application qui analyse les logs de divers services (SSH, Apache, FTP…) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu'une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu iptables pour bannir l'adresse IP de la source.

Il est vivement déconseillé de modifier les fichiers de configuration /etc/fail2ban/fail2ban.conf et /etc/fail2ban/jail.conf (notamment car ils peuvent être écrasés par une mise à jour). Ces fichiers contiennent les configurations de base qu'on peut surcharger au moyen d'un ou plusieurs fichiers enregistrés dans /etc/fail2ban/jail.d
Le fichier /etc/fail2ban/jail.conf doit servir uniquement de référence et de documentation.

Généralités

Fail2ban n'est pas a proprement parler un outil de sécurité. L'objectif principal est d'éviter de surcharger les logs du système avec des milliers de tentatives de connexion. Un serveur avec un accès SSH sur le port standard, par exemple, recevra très rapidement des centaines, voire des milliers de tentatives de connexions provenant de différentes machines. Ce sont généralement des attaques par force brute lancées par des robots.
Fail2ban en analysant les logs permet de bannir les IP au bout d'un certain nombre de tentatives ce qui limitera le remplissage des logs et l'utilisation de la bande passante.
Mais cela n'améliore en rien la sécurité du service concerné. Si l'accès SSH n'est pas suffisamment sécurisé (mot de passe faible par exemple) fail2ban n'empêchera pas un attaquant d'arriver à ses fins.
Autrement dit, utilisez votre temps de travail pour analyser vos configurations et sécuriser vos services plutôt que d''installer et paramétrer des outils d'analyse de logs plus ou moins gourmands en ressources système.

Paramétrage par défaut

Les paramètres par défaut sont visibles dans le fichier /etc/fail2ban/jail.conf

La durée de bannissement d'une IP est définie par la directive bantime avec une valeur en secondes. La valeur par défaut de 600 s (10 minutes est beaucoup trop faible). Il est plus réaliste d'avoir des durées de bannissement d'une ou plusieurs heures, voir plusieurs jours.

Une autre directive importante est findtime qui définit en secondes le temps depuis lequel une anomalie est recherchée dans les logs. Il ne faut pas mettre une valeur trop élevée (1 heure suffit) sans quoi la quantité de logs à analyser pourrait devenir très importante et donc avoir un impact sur les performances.

La directive ignoreip permet de définir la liste des IP à ignorer. Il est utile d'y mettre sa propre IP afin de ne pas risquer de se faire bannir.

Il faut créer le fichier dans /etc/fail2ban/jail.d/custom.conf (ou un autre nom de votre choix) contenant :

[DEFAULT]
ignoreip = 127.0.0.1 124.32.5.48
findtime = 3600
bantime = 86400
maxretry = 3
  • ignoreip ⇒ votre IP (ici 124.32.5.48) en plus de l'interface de bouclage ;
  • bantime = 86400 soit 24 heures
  • findtime = 3600 soit une heure
  • maxretry = 3 ⇒ une IP sera bannie après 3 tentatives de connexion avortées.

Configurer fail2ban pour les services actifs

Pour spécifier à fail2ban quels services il doit surveiller, il faut activer les « jails » (prisons) correspondant.

Si vous regardez le fichier /etc/fail2ban/jail.conf, dans la partie jail vous trouverez des blocs du type :

/etc/fail2ban/jail.conf
[sshd]

port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Il indique :

  • port = les ports à bloquer avec les règles iptables ;
  • logpath = l'emplacement des fichiers de log à surveiller ;
  • backend = le moteur de surveillance des logs.

Les valeurs représentées ainsi %(sshd_logs)s sont des variables qui sont définies dans d'autres fichiers de configuration : paths_common.conf et paths_debian.conf notamment.

Pour activer la surveillance des connexion SSH, il suffit d'ajouter dans le fichier /etc/fail2ban/jail.d/custom.conf :

/etc/fail2ban/jail.d/custom.conf
[sshd]
enabled = true

Procédez de même pour les autres services.
Il est bien entendu inutile d'activer des prisons pour des services qui ne sont pas utilisés sur le serveur.

Si vous avez besoin de spécifier un port (par exemple, quand SSH n'est pas en écoute sur un port standard, un fichier de log particulier, ou un nombre de tentatives différent de la valeur par défaut, précisez-le :

/etc/fail2ban/jail.d/custom.conf
[sshd]
enabled = true
port = 2222
logpath = /var/log/auth.log
maxretry = 5
D'une manière générale, il est important d'effectuer des tests pour vérifier le bon fonctionnement de fail2ban ! Voir ci-dessous comment procéder.

Relancez la configuration avec

sudo systemctl restart fail2ban

Vous pouvez alors vérifier si les prisons ont été correctement lancées avec :

sudo fail2ban-client status
Status
|- Number of jail:      3
`- Jail list:           apache, proftpd, sshd

Les prisons peuvent être contrôlées séparément avec les mots clés start,stop,status Par exemple :

sudo fail2ban-client stop sshd
Jail stopped

Pour plus d'informations, référez-vous aux pages de man.

Vérifier le bon fonctionnement de votre configuration Fail2Ban

Pour vérifier le bon fonctionnement de fail2ban vous pouvez essayer de vous identifier plusieurs fois en saisissant un mauvais mot de passe. Si Fail2ban fonctionne, vous devriez être interdit d'accès au serveur au bout d'un certain nombre d'essais (précisés dans la configuration à la ligne maxretry) à condition de ne pas avoir mis votre IP dans la directive ignoreip.
Attention ! Pensez à régler la valeur de bantime sur un temps assez court si vous faites ce genre d’essais afin de pouvoir vous reconnecter à votre serveur.

Côté serveur vous pouvez également surveiller ce qu'il se passe avec la commande

sudo fail2ban-client status sshd

qui dans ce cas vous retournera le statut de la prison 'sshd' (avec le nombre de tentatives échouées et la liste des IP bannies)

Si vous utilisez un service sujet à de nombreuses attaques par force brute, comme sshd sur le port standard 22, vous devriez très rapidement voir les premiers bannissements.

Vous pouvez aussi examiner les logs de fail2ban pour voir les actions effectuées :

tail -f /var/log/fail2ban.log

Configurer les actions

Les actions exécutées par fail2ban lorsqu'une correspondance est trouvée entre un filtre et une entrée de log sont définies par la directive action. Pour plus d'information consultez la partie ACTIONS du fichier /etc/fail2ban/jail.conf.
L'action par défaut est un simple bannissement par ajout d'une règle iptables.

Les actions peuvent être définis globalement dans la section [DEFAULT] ou par « jails » dans leur propre .section

Il est possible de recevoir un courriel après chaque bannissement d'une adresse IP.
Pour cela vous pouvez définir globalement l'adresse du destinataire dans la section [DEFAULT] du fichier /etc/fail2ban/jail.d/custom.conf :

destemail = adresse@example.com

Il faut que le système soit correctement configuré pour l'envoi de courriels, par exemple avec ssmtp.

La valeur par défaut est root@localhost dans la section [DEFAULT] de /etc/fail2ban/jail.conf et concerne donc toutes les prisons. Il reste cependant possible de spécifier un destemail particulier dans une prison donnée.

Pour voir les messages locaux (si vous avez laissé une adresse e-mail du type @localhost), il vous faudra ouvrir un terminal et taper la commande "mail" ou, plus simplement encore, consulter le fichier /var/mail/votrelogin.

Pour activer l'envoi de courriels, ajoutez la ligne dans la section [DEFAULT] du fichier /etc/fail2ban/jail.d/custom.conf

action = %(action_mw)s 

ou : (pour envoyer un mail avec le whois ainsi que les logs)

action = %(action_mwl)s 

Pensez à redémarrer fail2ban pour que cette modification soit prise en compte

sudo systemctl restart fail2ban

Des informations complémentaires sont disponibles sur le site officiel de Fail2ban : FAQ Fail2ban

Il existe de nombreuses autres possibilités de configuration des actions : envoi automatiques de courriels au service « abuse » concerné, bannissement d'utilisateur, envoi des IP et du motif de bannissement à des service externes comme AbuseIPDB, etc.

Configurer les filtres

À chaque prison ou service est associé un fichier de filtrage du même nom dans le dossier /etc/fail2ban/filter.d

Ces fichiers contiennent une ou plusieurs expressions rationnelles qui servent de motif de recherche pour les lignes correspondantes dans les logs. Les expressions rationnelles sont définies par la directive failregex.

Exemple dans le fichier /etc/fail2ban/filter.d/sshd.conf :

failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error|failed) for .* from <HOST>( via \S+)?\s*$

Cette expression rationnelle entrera en correspondance avec toutes les lignes du fichier de log contenant des erreurs ou échec authentification.

Vous pouvez ajouter ou modifier des expressions rationnelles dans ces fichiers (attention au risque d'écrasement lors d'une mise à jour). Mais cela exige une bonne maîtrise des expressions rationnelles et de la syntaxe particulière de fail2ban. D'autre part fail2ban a beaucoup évolué et des configurations personnalisées faîtes sur une version risquent de ne plus fonctionner sur la suivante…

Tester les filtres

Si vous avez crée vos propres filtres, modifier des filtres existants, ou si vous voulez simplement tester un filtre sur un fichier de log particulier, l'outil fail2ban-regex est fait pour vous.

Par exemple pour teste le filtre apache-badbots sur le fichier journal d'Apache :

fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-badbots.conf
  • Pyruse Pyruse est une alternative légère à fail2ban qui utilise systemd-journal
  • Tallow Tallow est une alternative légère à fail2ban qui utilise systemd-journal
  • fail2ban.txt
  • Dernière modification: Le 25/09/2018, 13:06
  • par bruno