Voici un moyen d’installer fail2ban (0.8.0-2) sur une Debian Etch. Ca intéressera les gens qui comme moi en ont marre des logs auth.log au kilomètre et aussi par souci de sécurité, évidemment.
On peux installer fail2ban après avoir maj les listes de packages
# apt-get update
# apt-get install fail2ban
Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !
# Fail2Ban conf for aemeth.org
# par Adrien Pujol
[DEFAULT]
# Adresse mail ou envoyer les informations
destemail = thepolux@gmail.com
# White list
ignoreip = 127.0.0.1
# Reglages par défaut !
bantime = 3600
maxretry = 3
findtime = 300
# Backend
backend = polling
# Ban action ..
banaction = iptables-multiport
# Action par défaut !
action = %(action_mwl)s
#----- SERVICES A SURVEILLER -----------------------------------#
[ssh]
enabled = true
[apache]
enabled = true
maxretry = 5
[apache-noscript]
enabled = true
port = http
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6
[proftpd]
enabled = true
logpath = /var/log/auth.log
[postfix]
enabled = true
[courierauth]
enabled = true
[sasl]
enabled = true
C’est ici mon fichier de config, ajusté en fonction de mes besoins… ce n’est pas forcément ce qu’il vous faut ! Ajustez en conséquence !
Tout est suffisament commenté pour que je n’ai pas besoin d’en dire plus ;)
On redémarre fail2ban-client :
# fail2ban-client stop
Shutdown successful
# fail2ban-client start
On vérifie comme ceci :
# fail2ban-client -d
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'apache-noscript', 'polling']
['set', 'apache-noscript', 'addlogpath', '/var/log/apache2/error.log']
['set', 'apache-noscript', 'addlogpath', '/var/log/apache2/files_error.log']
['set', 'apache-noscript', 'maxretry', 6]
['set', 'apache-noscript', 'addignoreip', '127.0.0.1']
['set', 'apache-noscript', 'findtime', 300]
['set', 'apache-noscript', 'bantime', 3600]
...
[Fail2Ban]
['set', 'courierauth', 'actionunban', 'mail-whois-lines', '']
['set', 'courierauth', 'actioncheck', 'mail-whois-lines', '']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'dest', 'thepolux@gmail.com']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'logpath', '/var/log/mail.log']
['set', 'courierauth', 'setcinfo', 'mail-whois-lines', 'name', 'courierauth']
['start', 'apache-noscript']
['start', 'postfix']
['start', 'proftpd']
['start', 'ssh']
['start', 'sasl']
['start', 'apache']
['start', 'courierauth']
Et encore comme ça:
# iptables -L | grep fail2ban
fail2ban-courierauth tcp -- anywhere anywhere multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh,sftp
fail2ban-proftpd tcp -- anywhere anywhere multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-postfix tcp -- anywhere anywhere multiport dports smtp,ssmtp
fail2ban-courierauth tcp -- anywhere anywhere multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh,sftp
fail2ban-couriersmtp tcp -- anywhere anywhere multiport dports smtp,ssmtp
fail2ban-ssh-ddos tcp -- anywhere anywhere multiport dports ssh,sftp
fail2ban-proftpd tcp -- anywhere anywhere multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-postfix tcp -- anywhere anywhere multiport dports smtp,ssmtp
fail2ban-apache-noscript tcp -- anywhere anywhere multiport dports www,https
Chain fail2ban-apache (2 references)
Chain fail2ban-apache-noscript (1 references)
Chain fail2ban-courierauth (2 references)
Chain fail2ban-couriersmtp (1 references)
Chain fail2ban-postfix (2 references)
Chain fail2ban-proftpd (2 references)
Chain fail2ban-ssh (2 references)
Chain fail2ban-ssh-ddos (1 references)
Ok, ça roule ! :]
Possibly Related Posts:
- Crashdump.fr passe en AES-256.
- Effacer définitivement les données d’un disque dur sous *nux (dd, zero, random)
- ARP Spoofing (ARP Cache poisoning)
- HackThisSite.org Basic Howto: 1 à 10
- Protocole BGP, l’Internet en danger ?
Passant says:
—————–8<—————-
Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !
—————–8<—————-
Là je suis perdu, c'est dans le "conf" ou le "local" que l'on modifie ?
crashdump says:
jail.local !