Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
fail2ban [Le 09/08/2019, 10:29] 109.190.133.193 [Paramétrage par défaut] |
fail2ban [Le 09/05/2020, 22:56] 91.170.93.64 [lancement et controle du service] |
||
|---|---|---|---|
| Ligne 5: | Ligne 5: | ||
| {{ :fail2ban_logo.png?90}} | {{ :fail2ban_logo.png?90}} | ||
| - | **fail2ban** est une application qui analyse les logs de divers services (SSH, Apache, FTP...) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu'une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu [[:iptables]] pour bannir l'adresse IP de la source. | + | **fail2ban** est une application qui analyse les logs de divers services (SSH, Apache, FTP...) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu'une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu [[:iptables]] ou [[:nftables]] pour bannir l'adresse IP de la source. |
| ===== Installation ===== | ===== Installation ===== | ||
| [[tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>fail2ban]]** disponible dans les [[:depots#universe_et_multiverse|dépôts Universe]]. \\ | [[tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>fail2ban]]** disponible dans les [[:depots#universe_et_multiverse|dépôts Universe]]. \\ | ||
| + | Il convient ensuite de lancer le service fail2ban | ||
| + | <code>systemctl start fail2ban</code> | ||
| + | |||
| + | puis d'en créer le démarrage automatique | ||
| + | <code>systemctl enable fail2ban</code> | ||
| + | |||
| + | Et enfin de contrôler la bonne installation | ||
| + | <code>systemctl status fail2ban</code> | ||
| + | |||
| + | Si la réponse comporte du rouge et le mot "failed" " sur la ligne commençant par "Active :", les dernières lignes du message indiquent les raisons de l'échec et permettent sa correction avant un nouvel essai, à tenter après lecture du reste de cet article. | ||
| + | |||
| + | Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif. | ||
| ===== Configuration ===== | ===== Configuration ===== | ||
| Ligne 25: | Ligne 37: | ||
| Les paramètres par défaut sont visibles dans le fichier **/etc/fail2ban/jail.conf** | Les paramètres par défaut sont visibles dans le fichier **/etc/fail2ban/jail.conf** | ||
| - | La durée de bannissement d'une IP est définie par la directive **bantime** avec une valeur en secondes. La valeur par défaut de 600 s (cela représente 10 minutes et c'est beaucoup trop court), il est plus réaliste d'avoir des durées de bannissement d'une ou plusieurs heures, voir plusieurs jours.\\ | + | La durée de bannissement d'une IP est définie par la directive **bantime** avec une valeur en secondes. La valeur par défaut est de 600 s, soit 10 minutes, ce qui est beaucoup trop court. Il est plus réaliste d'avoir des durées de bannissement d'une ou plusieurs heures, voir plusieurs jours.\\ |
| Une autre directive importante est **findtime** qui définit en secondes le temps depuis lequel une anomalie est recherchée dans les logs. Il ne faut pas mettre une valeur trop élevée (1 heure suffit) sans quoi la quantité de logs à analyser pourrait devenir très importante et donc avoir un impact sur les performances. | Une autre directive importante est **findtime** qui définit en secondes le temps depuis lequel une anomalie est recherchée dans les logs. Il ne faut pas mettre une valeur trop élevée (1 heure suffit) sans quoi la quantité de logs à analyser pourrait devenir très importante et donc avoir un impact sur les performances. | ||
| Ligne 111: | Ligne 123: | ||
| Côté serveur vous pouvez également surveiller ce qu'il se passe avec la commande | Côté serveur vous pouvez également surveiller ce qu'il se passe avec la commande | ||
| <code>sudo fail2ban-client status sshd</code> | <code>sudo fail2ban-client status sshd</code> | ||
| - | qui dans ce cas vous retournera le statut de la prison 'sshd' (avec le nombre de tentatives échouées et la liste des IP bannies) | + | qui dans ce cas vous retournera le statut de la prison « sshd » (avec le nombre de tentatives échouées et la liste des IP bannies) |
| Si vous utilisez un service sujet à de nombreuses attaques par force brute, comme sshd sur le port standard 22, vous devriez très rapidement voir les premiers bannissements. | Si vous utilisez un service sujet à de nombreuses attaques par force brute, comme sshd sur le port standard 22, vous devriez très rapidement voir les premiers bannissements. | ||
| Ligne 204: | Ligne 216: | ||
| * (en) [[http://www.fail2ban.org/wiki/index.php/Main_Page|Le site de fail2ban]] | * (en) [[http://www.fail2ban.org/wiki/index.php/Main_Page|Le site de fail2ban]] | ||
| + | * (fr) [[https://wiki.visionduweb.fr/index.php?title=Installer_et_utiliser_Fail2ban|Wiki non officiel de fail2ban]] (Commandes fail2ban, Exemples fail2ban, ressources complémentaires...) | ||
| --- //[[:utilisateurs:bruno|bruno]] Le 15/03/2018, 10:24// | --- //[[:utilisateurs:bruno|bruno]] Le 15/03/2018, 10:24// | ||
| + | --- //[[:utilisateurs:Zer00CooL|Zer00CooL]] Le 25/03/2020, 15:45// | ||