http://wiki.diouxx.be/index.php?action=history&feed=atom&title=Fail2banFail2ban - Historique des versions2026-04-16T16:20:53ZHistorique des versions pour cette page sur le wikiMediaWiki 1.30.2http://wiki.diouxx.be/index.php?title=Fail2ban&diff=110&oldid=prevDdevleeschauwer le 31 décembre 2014 à 10:042014-12-31T10:04:24Z<p></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 31 décembre 2014 à 10:04</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l205" >Ligne 205 :</td>
<td colspan="2" class="diff-lineno">Ligne 205 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>bantime = 900</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>bantime = 900</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></pre></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></pre></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">== Ban persistant ==</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Vous pouvez faire des bans persistants par la création d'une liste noire et le chargement de cette liste noir lorsque fail2ban est redémarré automatiquement. D'abord, vous devez créer un fichier pour stocker les adresses IP sur liste noire.</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><br></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">{{ Console root | sudo touch /etc/fail2ban/ip.blacklist }}</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><br></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Ensuite, vous pouvez soit faire une copie ou modifier le fichier {{ File | 1=/etc/fail2ban/action.d/iptables-multiport.conf }}.</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Dans le fichier de configuration d'action il y a plusieurs directives différentes, nous voulons nous concentrer sur deux, la directive '''actionstart''' et '''actionban'''. Premièrement, lorsque fail2ban interdit une adresse IP, nous voulons non seulement l'interdire, mais nous voulons aussi ajouter l'adresse IP dans le fichier {{ File | ip.blacklist}}.</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><br></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><pre></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">actionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">            echo <ip> >> /etc/fail2ban/ip.blacklist</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></pre></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><br></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Ensuite, nous voulons être sûrs que la règle iptables est ajouté lorsque fail2ban démarre, donc nous ajoutons les lignes de code à la directive '''actionstart''' suivantes:</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><br></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"><pre></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">actionstart = iptables -N fail2ban-<name></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">              iptables -A fail2ban-<name> -j RETURN</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">              iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">              cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></pre></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">Maintenant, dés que fail2ban va démarrer/redémarrer, il va automatiquement bannir toutes les IP se trouvant dans le fichier {{ File | 1=/etc/fail2ban/ip.blacklist }}.</ins></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>== Liens externes ==</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>== Liens externes ==</div></td></tr>
<tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l212" >Ligne 212 :</td>
<td colspan="2" class="diff-lineno">Ligne 238 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web <br></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web <br></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Testing <br></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Testing <br></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">http://zach.seifts.us/posts/2013/07/14/how-make-fail2ban-bans-persistent</ins></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>[[Catégorie:Système]]</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>[[Catégorie:Système]]</div></td></tr>
<!-- diff cache key wikidb:diff:version:1.11a:oldid:22:newid:110 -->
</table>Ddevleeschauwerhttp://wiki.diouxx.be/index.php?title=Fail2ban&diff=22&oldid=prevDdevleeschauwer : Page créée avec « == Comment marche Fail2Ban ? == Développé en langage Python, Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de déclencher des actions si ... »2013-03-30T11:58:00Z<p>Page créée avec « == Comment marche Fail2Ban ? == Développé en langage Python, Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de déclencher des actions si ... »</p>
<p><b>Nouvelle page</b></p><div>== Comment marche Fail2Ban ? ==<br />
<br />
Développé en langage Python, Fail2Ban est un logiciel libre permettant d'analyser des fichiers de logs et de déclencher des actions si certaines choses suspectes sont détectées. La grande force de Fail2Ban est sa grande modularité que cela soit au niveau des mécanismes de détections basées sur les expressions régulières ou sur les actions à mener qui peuvent aller de l'expédition d'un mail à la mise en place de règles de Firewall.<br />
<br />
Fail2Ban se base sur un système de prisons (jails) que l'on peut définir, activer ou désactiver dans un simple fichier de configuration (/etc/fail2ban/jail.conf).<br />
<br />
Une prison (jail) est composée, entre autres, des éléments suivants:<br />
<br />
* Nom du fichier de log à analyser.<br />
* Filtre à appliquer sur ce fichier de log (la liste des filtres disponibles se trouve dans le répertoire /etc/fail2ban/filter.d). Il est bien sûr possible de créer ses propres filtres.<br />
* Paramètres permettant de définir si une action doit être déclenchée quand le filtre correspond ("match"): Nombre de "matchs" (maxretry), intervalle de temps correspondant (findtime)...<br />
* Action à mener si nécessaire. La liste des actions se trouve dans le répertoire /etc/fail2ban/action.d. Il est également possible de créer ses propres actions.<br />
<br />
== Installation ==<br />
<br />
On commence par installer Fail2Ban sur son système. Il se trouve dans la grande majorité des distributions GNU/Linux et BSD. par exemple pour l'installer sur une machine Debian 6, il suffit de saisir la commande suivante (en root ou bien précédée d'un sudo):<br />
<br><br />
{{ Console root | apt-get install fail2ban }}<br />
<br><br />
<br />
=== Protection contre les attaques "brute force" SSH ===<br />
<br />
Un exemple étant toujours plus parlant, nous allons configurer notre Fail2Ban pour bloquer automatiquement les adresses IP des machines essayant des attaques de type "brute force" sur notre port SSH (cette attaque est à la portée de n'importe quel "neuneu". On trouve de très bon tutoriaux sur le sujet sur le net).<br />
<br />
Si une machine cliente échoue 2 fois de suite lors de la saisie du couple login/password sur le serveur SSH alors on bloque l'accès au port TCP/SSH pendant 15 minutes. <br />
On analyse pour cela le fichier de log {{ File | /var/log/auth.log }} en lui appliquant le filtre {{ File | /etc/fail2ban/filter.d/sshd.conf }} puis, si nécessaire, l'action {{ File | /etc/fail2ban/action.d/iptables.conf}}<br />
La définition de cette prison (jail) est à faire dans le fichier {{ File | /etc/fail2ban/jail.conf }}<br />
<pre><br />
# SSH<br />
# 2 retry ? > Ban for 15 minutes<br />
[ssh]<br />
enabled = true<br />
port = ssh<br />
filter = sshd<br />
action = iptables[name=SSH, port=ssh, protocol=tcp]<br />
logpath = /var/log/auth.log<br />
maxretry = 2<br />
bantime = 900<br />
</pre><br />
<br />
Un fois le filtre activé en relançant Fail2Ban avec la commande (en root):<br />
<br><br />
{{ Console root | service fail2ban restart }}<br />
<br><br />
<br />
On peut rapidement voir son efficacité en regardant le fichier de log {{ File | /var/log/fail2ban.log }}<br />
<br />
=== Protection contre les attaques DOS (HTTP/GET) ===<br />
<br />
Dans ce deuxième exemple nous allons voir comment lutter efficacement contre les attaques de type DOS ciblant vos serveurs Web. Ces attaques se caractérisent par un nombre inhabituel de requêtes HTTP venant d'un même client (du moins d'une même adresse IP source).<br />
<br />
Le plus difficile est de trouver les bons paramètres correspondants à un comportement "inhabituel". Dans l'exemple suivant, je considère comme "inhabituel" le fait qu'un client effectue plus de 360 requêtes en 2 minutes (soit une moyenne de supérieurement à 3 req/sec) sur mon serveur Web. Dans ce cas, je bloque l'accès au port HTTP pendant une durée de 10 minutes.<br />
<br />
La prison (jail) correspondante est la suivante à ajouter dans votre fichier {{ File | /etc/fail2ban/jail.conf }}<br />
<pre><br />
# Protect against DOS attack<br />
# 360 requests in 2 min > Ban for 10 minutes<br />
[http-get-dos]<br />
enabled = true<br />
port = http,https<br />
filter = http-get-dos<br />
logpath = /var/log/apache2/acces.log<br />
maxretry = 360<br />
findtime = 120<br />
action = iptables[name=HTTP, port=http, protocol=tcp]<br />
bantime = 600<br />
</pre><br />
<br />
Il est tout a fait possible d'utiliser plusieurs fichiers de logs. Par exemple, si on utilise des virtuals Host et que ceux-ci ont des fichiers logs bien distincts.<br />
Pour réaliser cela, il suffit de renseigner les différents fichiers pour l avariable logpath :<br />
<pre><br />
logpath = /var/log/apache2/acces.log<br />
/var/log/apache2/access-crm.log<br />
</pre><br />
<br />
Le filtre http-get-dos n'est pas fourni par défaut. Il faut donc éditer le fichier {{ File | /etc/fail2ban/filter.d/http-get-dos.conf}} avec le contenu suivant:<br />
<pre><br />
# Fail2Ban configuration file<br />
<br />
#<br />
<br />
# Author: http://www.go2linux.org<br />
<br />
#<br />
<br />
[Definition]<br />
<br />
# Option: failregex<br />
<br />
# Note: This regex will match any GET entry in your logs, so basically all valid and not valid entries are a match.<br />
<br />
# You should set up in the jail.conf file, the maxretry and findtime carefully in order to avoid false positives.<br />
<br />
failregex = ^<HOST>.*"GET<br />
<br />
# Option: ignoreregex<br />
<br />
# Notes.: regex to ignore. If this regex matches, the line is ignored.<br />
<br />
# Values: TEXT<br />
<br />
#<br />
<br />
ignoreregex =<br />
</pre><br />
<br />
Un fois le filtre activé:<br />
<br><br />
{{ Console root | service fail2ban restart }}<br />
<br><br />
<br />
=== Requêtes w00tw00t ===<br />
Voici un exemple, pour bannir les désormais célèbres requêtes DFind w00tw00t. Dans le fichier {{ File | /etc/fail2ban/jail.conf}} on ajoute :<br />
<pre><br />
[apache-w00tw00t]<br />
enabled = true<br />
filter = apache-w00tw00t<br />
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]<br />
logpath = /var/log/apache2/access*.log<br />
maxretry = 1<br />
</pre><br />
On notera que contrairement aux autres règles, celle-ci s'attaque au fichier de log des accès (/var/log/apache2/access*.log).<br />
<br />
Voici le fichier de règles {{ File | /etc/fail2ban/filter.d/apache-w00tw00t.conf }}<br />
<pre><br />
[Definition]<br />
<br />
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*<br />
<br />
ignoreregex =<br />
</pre><br />
Un fois le filtre activé:<br />
<br><br />
{{ Console root | service fail2ban restart }}<br />
<br><br />
<br />
== Lister les IP bannies ==<br />
<br />
Listez les ip bannies avec la commande:<br />
<br><br />
{{ Console root | iptables -L }}<br />
<br><br />
Vous obtiendrez quelque chose du genre:<br />
<pre> <br />
...<br />
Chain fail2ban-ssh (1 references)<br />
target prot opt source destination<br />
DROP all -- APoitiers-551-1-48-250.w92-146.abo.wanadoo.fr anywhere<br />
DROP all -- ip-83-134-25-126.dsl.scarlet.be anywhere<br />
DROP all -- 192.168.1.245 anywhere<br />
RETURN all -- anywhere anywhere<br />
<br />
fail2ban-HTTP (1 references)<br />
target prot opt source destination <br />
RETURN all -- anywhere anywhere <br />
...<br />
</pre><br />
On peut voir que l'IP 192.168.1.245 s'est fais bannir via le filtre fail2ban-ssh<br />
<br />
Il faut compter le nombre de ligne d'Ip bannis jusqu’à celle que l'on veut débannir. Ici la 3eme ligne.<br />
Ensuite une petite ligne de commande, il faudra bien entendu remplacer "fail2ban-ssh" par le nom du filtre qui a bannis l'ip et "3" par le numéro de la ligne correspondante.<br />
<br><br />
{{ Console root | iptables -D fail2ban-ssh 3 }}<br />
<br><br />
Relancer la première commande pour vérifier que l'Ip n'est plus dans la liste des adresses bannies.<br />
<br><br />
{{ Avertissement | Il est fortement recommandé de redémarrer le service fail2ban si on débanni une IP manuellement }}<br />
<br><br />
<br />
== Tester son filtre ==<br />
<br />
Many things can be tested after configuration but the following commands can help to verify your settings:<br />
<br />
fail2ban-client -d<br />
<br />
will dump the current configuration.<br />
<br />
fail2ban-regex "line" "failregex"<br />
<br />
will test a single regular expression failregex (such as given in sshd.conf) with a single line of your logfile. Don't forget the double quotes around your line and failregex definitions.<br />
<br />
fail2ban-regex accepts files too. Thus, it is easier to test and debug your own regular expressions.<br />
<br />
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf<br />
<br />
You can use a combination of both:<br />
<br />
fail2ban-regex /var/log/auth.log "Failed [-/\w]+ for .* from <HOST>"<br />
<br />
== Différentes prison/jail ==<br />
<br />
Les prisons (jail) sont toujours à configurer dans {{ File | /etc/fail2ban/jail.conf }}<br />
<br />
=== SSH ===<br />
<pre><br />
# SSH<br />
# 2 retry ? > Ban for 15 minutes<br />
[ssh]<br />
enabled = true<br />
port = ssh<br />
filter = sshd<br />
action = iptables[name=SSH, port=ssh, protocol=tcp]<br />
logpath = /var/log/auth.log<br />
maxretry = 2<br />
bantime = 900<br />
</pre><br />
<br />
== Liens externes ==<br />
[http://blog.nicolargo.com/2012/02/proteger-son-serveur-en-utilisant-fail2ban.html protéger son serveur avec fail2ban ] <br><br />
[http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html Bannir les bannis avec fail2ban] <br><br />
http://doc.ubuntu-fr.org/fail2ban <br><br />
http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web <br><br />
http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Testing <br><br />
<br />
[[Catégorie:Système]]</div>Ddevleeschauwer