Auteur Sujet: Fail2ban - Ou comment protéger ses serveurs  (Lu 23242 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne KoRn69

  • Team IRC
  • Newbie
  • *
  • Messages: 15
  • Karma : 1
    • Voir le profil
Fail2ban - Ou comment protéger ses serveurs
« le: décembre 13, 2009, 01:34:14 am »
Introduction
 Fail2ban est un utilitaire qui permet de scanner les fichiers log, de chercher suivant des expressions régulières (regexp) et de bannir via iptables les IP misent en cause.
Exemple:
Plusieurs connexion sur le port 22 (ssh). Fail2ban va chercher dans /var/log/auth.log et en tirer les IP qui ont fait N fois le mauvais mot de passe pour les bannir.

Installation
 Il est normalement installé de base sur votre linux. Sinon téléchargez le et installez le comme tout bon linuxien qui se respecte ;)

 Debian && Debian-based (ubuntu) -> apt-get install fail2ban
Générique  -> wget http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download && tar xjvf fail2ban-0.8.4.bz2
                           cd fail2ban-0.8.4/ && ./configure && make && make install


Configuration

 Le fichier de configuration principal de Fail2ban est /etc/fail2ban/jail.conf
 On prendra pour exemple une attaque de type "Dfind w00tw00t" qui scan votre /var/www/ à la recherche de dossier vulnérables.

 Nous allons donc éditer /etc/fail2ban/jail.conf et rajouter les lignes suivantes:
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath = /var/log/apache2/access*.log
maxretry = 1
Détails des lignes:
-1ere ligne est un nom d'aliase qui sera rappelé lors de la configuration même du service.
-2eme ligne permet d'activer le filtre.
-3eme ligne filtre de fail2ban
-4eme ligne action, permet de spécifier à fail2ban ou regarder. Ici le port 80 avec le protocole TCP
-5eme ligne Logpath, celle-ci spécifie le chemin de vos logs, attention dans certains cas, avec vos vhost apache les fichiers logs peuvent être situé dans /home/<login>/logs/access.log
-6eme ligne Maxretry, spécifie le nombre de requête que pourra exécuter l'ip, ici on ne spécifie qu'un seul essai car l'host en w00t sera forcément un Dfind.

 Nous passons maintenant à la configuration du fichier de filtre de apache-w00tw00t: /etc/fail2ban/filter.d/apache-w00tw00t.conf
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*

ignoreregex =

Vous remarquerez dans le fichier filter.d qu'il y a plusieurs filtres pouvant être activés en éditant le fichier /etc/fail2ban/jail.conf comme vu précédemment.
Vous pouvez maintenant tester si la regexp de fail2ban détecte comme il faut les Dfind
fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-w00tw00t.conf

Voila votre serveur apache est désormais protégé des bot type "Dfind". Si vous souhaitez voir la liste des IP bloquées tapez iptables -L

Enjoy ;)

Hors ligne barbaraaaa

  • Resp
  • Hero Member
  • *
  • Messages: 742
  • Karma : 19
    • Voir le profil
Re : Fail2ban - Ou comment protéger ses serveurs
« Réponse #1 le: décembre 13, 2009, 17:17:41 pm »
Depuis le temps que je le dis  :angel: