Aller au contenu
Bientot le SIte Couillaman.VIP ×
Vie du geek le forum entre geek

Inscrivez-vous maintenant pour accéder à toutes nos fonctionnalités. Une fois inscrit et connecté, vous pourrez créer des sujets, publier des réponses aux discussions existantes, donner de la réputation à vos collègues, obtenir votre propre messager privé, publier des mises à jour de statut, gérer votre profil et bien plus encore. Si vous avez déjà un compte, connectez-vous ICI autrement Inscription un compte gratuit aujourd'hui!

dokkun

part 5 Guide sur l’installation d’un serveur sous Debian 7 (Wheezy)

Messages recommandés

Guide Debian 7 (partie 5/8) : Fail2ban, gardien de votre serveur

 

 

 

introduction

 

 

Fail2ban est un petit programme chargé de surveiller les logs de votre serveur à la recherche de comportements suspects. Pour reprendre la métaphore utilisée dans un article précédent, si votre serveur était votre maison et SSH la porte d’entrée, fail2ban serait un imposant molosse attendant tranquillement sur le pas de la porte d’éventuels voleurs (en théorie, il ne fera rien au facteur).

Fail2ban se configure simplement via un système de prison et permet de bannir les IP dangereuses en ajoutant dynamiquement des règles à IPTables.

Installation

On commence par l’installer :

 
1
aptitude install fail2ban

Rapide configuration pour bannir les tentatives infructueuses de connexion via SSH :

 
1
vim /etc/fail2ban/jail.conf

On bannit après 3 tentatives de connexion pour 15 minutes (rien ne vous empêche d’être beaucoup plus sévère) :

 
7
maxretry = 3

Conseil : évitez d’utiliser une valeur trop haute pour la durée de bannissement. En effet, si vous vous bannissez par erreur (ce qui n’arrivera pas si vous utilisez un certificat SSH), vous devrez attendre, ce qui peut poser problème en cas d’urgence. Dans tous les cas, trouvez le juste milieu, et, si une IP est trop insistante, vous pourrez prendre les mesures nécessaires pour la bannir plus longtemps.

Prise en compte des changements :

 
1
/etc/init.d/fail2ban restart

Il est possible de vérifier les bans en surveillant les logs :

 
1
tail f /var/log/fail2ban.log

 

Revevoir des mails de fail2ban

Par défaut, fail2ban utilise sendmail pour l’envoi de rapport, et ça tombe plutôt bien, puisque nous aussi.

On édite de nouveau le fichier jail.conf :

 
1
vim /etc/fail2ban/jail.con

Modification de l’adresse mail destinée à recevoir les rapport :

 
1
destemail = votremail@domain.com

Et l’étape à ne pas oublier, on active l’action permettant l’envoi de rapport :

 
1
action = %(action_mwl)s

Les actions disponibles :

  • action_ => simple ban
  • action_mw => ban et envoi de mail
  • action_mwl => ban, envoi de mail accompagné des logs

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×
×
  • Créer...