Installer Fail2Ban 0.8.x sur une Deb’

juin 17th, 2007
|
Sécurité | 2 Comments

Voici un moyen d’installer fail2ban (0.8.0-2) sur une Debian Etch. Ca intéressera les gens qui comme moi en ont marre des logs auth.log au kilomètre et aussi par souci de sécurité, évidemment.

On peux installer fail2ban après avoir maj les listes de packages

1
2
# apt-get update
# apt-get install fail2ban

Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
# Fail2Ban conf for aemeth.org
# par Adrien Pujol <thepolux@gmail.com>
#----- CONFIGURATION GENERALE ------------------------------------------#
[DEFAULT]
# Adresse mail ou envoyer les informations
destemail = thepolux@gmail.com
# White list
ignoreip  = 127.0.0.1
# Reglages par défaut !
bantime   = 3600
maxretry  = 3
findtime  = 300
# Backend
backend   = polling
# Ban action ..
banaction = iptables-multiport
# Action par défaut !
action    = %(action_mwl)s
#----- SERVICES A SURVEILLER -----------------------------------#
[ssh]
enabled   = true
[apache]
enabled   = true
maxretry  = 5
[apache-noscript]
enabled   = true
port      = http
filter    = apache-noscript
logpath   = /var/log/apache*/*error.log
maxretry  = 6
[proftpd]
enabled   = true
logpath   = /var/log/auth.log
[postfix]
enabled   = true
[courierauth]
enabled   = true
[sasl]
enabled   = true

C’est ici mon fichier de config, ajusté en fonction de mes besoins… ce n’est pas forcément ce qu’il vous faut ! Ajustez en conséquence !
Tout est suffisament commenté pour que je n’ai pas besoin d’en dire plus ;)

On redémarre fail2ban-client :

1
2
3
# fail2ban-client stop
Shutdown successful
# fail2ban-client start

On vérifie comme ceci :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# fail2ban-client -d
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'apache-noscript', 'polling']
['set', 'apache-noscript', 'addlogpath', '/var/log/apache2/error.log']
['set', 'apache-noscript', 'addlogpath', '/var/log/apache2/files_error.log']
['set', 'apache-noscript', 'maxretry', 6]
['set', 'apache-noscript', 'addignoreip', '127.0.0.1']
['set', 'apache-noscript', 'findtime', 300]
['set', 'apache-noscript', 'bantime', 3600]
...
[Fail2Ban] <name>: started" <dest>']
['set', 'courierauth', 'actionunban', 'mail-whois-lines', '']
['set', 'courierauth', 'actioncheck', 'mail-whois-lines', '']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'dest', 'thepolux@gmail.com']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'logpath', '/var/log/mail.log']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'name', 'courierauth']
['start', 'apache-noscript']
['start', 'postfix']
['start', 'proftpd']
['start', 'ssh']
['start', 'sasl']
['start', 'apache']
['start', 'courierauth']

Et encore comme ça:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# iptables -L | grep fail2ban
fail2ban-courierauth  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-apache  tcp  --  anywhere             anywhere            multiport dports www,https
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh,sftp
fail2ban-proftpd  tcp  --  anywhere             anywhere            multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp
fail2ban-courierauth  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-apache  tcp  --  anywhere             anywhere            multiport dports www,https
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh,sftp
fail2ban-couriersmtp  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh,sftp
fail2ban-proftpd  tcp  --  anywhere             anywhere            multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp
fail2ban-apache-noscript  tcp  --  anywhere             anywhere            multiport dports www,https
Chain fail2ban-apache (2 references)
Chain fail2ban-apache-noscript (1 references)
Chain fail2ban-courierauth (2 references)
Chain fail2ban-couriersmtp (1 references)
Chain fail2ban-postfix (2 references)
Chain fail2ban-proftpd (2 references)
Chain fail2ban-ssh (2 references)
Chain fail2ban-ssh-ddos (1 references)

Ok, ça roule ! :]

Tags: , , , ,

2 Comments:

  1. —————–8<—————-
    Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
    Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !
    —————–8<—————-

    Là je suis perdu, c'est dans le "conf" ou le "local" que l'on modifie ?

    Passant
    24 mar, 2010

Leave a comment: