Fail2Ban permet d’analyser les logs (journaux d’événements) et de repérer les tentatives d’intrusion.
Dans ce cas, il va créer une règle sur le pare feu pour temporairement bannir l’adresse IP qui tente de pénétrer…
Installation
Le logiciel est dans les dépots, alors pas très compliqué :
apt install fail2ban
Configuration
Création d’une copie du fichier de configuration pour le modifier
cd /etc/fail2ban cp jail.conf jail.local
Éditer le fichier de configuration local :
nano jail.local
Adapter les éléments :
- ajouter les adresses IP à ne pas bannir séparées par un espace (la votre à rajouter à la fin, à priori)
ignoreip = 127.0.0.1/8 mon.add.res.ip
- le temps de bannissement (passé ici à un jour)
bantime = 86400
- je recherche ceux qui ont fait 2 tentatives d’accès durant dans la dernière heure :
findtime = 3600 maxretry = 2
- pour recevoir un mail à chaque action de bannissement
destemail = mon_mail@domain.com
- et modifier le contenu du mail (avec le résultat du whois et le log associé)
action = %(action_mwl)s
- et comme j’avais changé le port du SSH, il faut que je rajoute ce port dans ma vérification :
[ssh] enabled = true port = ssh,sftp,1234 filter = sshd logpath = /var/log/auth.log maxretry = 6
On peut maintenant sauvegarder et quitter le fichier de configuration (CTRL+X) et relancer le service.
service fail2ban restart
Sources :
- https://help.ubuntu.com/community/Fail2ban
- https://doc.ubuntu-fr.org/fail2ban
8 commentaires
Vincent Breton · 10 novembre 2015 à 16 h 05 min
Pour l’installation, remplacer apt install par apt-get install.
Vincent Breton · 10 novembre 2015 à 16 h 13 min
Merci pour cet article,
J’utiliserai à présent apt à la place d’apt-get:
https://debian-handbook.info/browse/fr-FR/stable/sect.apt-get.html
Éric B. · 10 novembre 2015 à 16 h 20 min
Salut,
En effet, « apt » est utilisable depuis Ubuntu 14.04 seulement à priori.
Il me semble même que c’est lors de l’installation, en utilisant la console avec un « apt-get », que j’ai un retour me disant qu’il fallait utiliser « apt install » et plus « apt-get install » désormais.
Quoi qu’il en soit « apt-get install » fonctionne toujours.
thibaut · 19 décembre 2016 à 16 h 06 min
Bonjour,
Pouvez-vous faire un article plus précis sur la sécurité du serveur notamment avec un firewall Iptables ?
Que pensez-vous de Rkhunter
Merci beaucoup pour ce site génial et votre sens du respect des libertées du web.
thibaut · 19 décembre 2016 à 16 h 08 min
En 2016 (bientôt 2017) vous me conseillez plutôt owncloud, nextcloud ou seacloud ?
Éric B. · 20 décembre 2016 à 14 h 44 min
Aujourd’hui, je partirais sur Nextcloud… le développement a l’air d’être plus actif.
Je pense que je ferais un changement d’ici quelques temps.
Éric B. · 20 décembre 2016 à 14 h 54 min
Merci !
IPtable, pas vraiment plus approfondi pour l’instant, alors pas grand chose à en dire.
RKhunter, je l’ai testé occasionnellement, mais c’est bizarre à utiliser car il faut faire une vérif à chaque update. De mémoire, il compare le hmd5 des fichiers critiques avec les versions sur le serveur, donc si ton hashMD5 est pas à jour, il y a plein d’alertes !
Par contre, je lance CHKRootkit régulièrement par cron : https://eric.bugnet.fr/securiser-son-serveur-web/
Éric
thibaut · 20 décembre 2016 à 16 h 22 min
Merci beaucoup pour vos réponses. Oui pour RKhunter c’est ce que je me disais, ça doit être embêtant lors des update.
Du coup je vais faire votre méthode avec une tache cron.
Encore merci 🙂