Utilisation de fail2ban (Linux)

De Travail-ivan

Utilisation de fail2ban[modifier | modifier le wikicode]

Prérequis[modifier | modifier le wikicode]

Mettre a jour les dépôt 

sudo apt update

Installer le paquet fail2ban 

sudo apt install fail2ban


Installer le paquet apache 

sudo apt install apapche2

sudo apt install apapche2-utils

Installer le paquet ssh 

sudo apt install ssh


Mise en Œuvre du système de détection d’intrusion -IDS- Fail2ban[modifier | modifier le wikicode]

Lancer le service fail2ban 

sudo systemctl start fail2ban

Définir un démarrage automatique de ce service 

sudo systemctl enable fail2ban

contrôler que l’IDS est activé 

sudo systemctl status fail2ban
  • Si la réponse comporte du rouge et le mot "failed" " sur la ligne commençant par "Active :", les dernières lignes du message indiquent les raisons de l'échec et permettent sa correction avant un nouvel essai.
  • Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif.
  • Maintenant que le serveur WEB est prêt

Protection du service SSH[modifier | modifier le wikicode]

Activer la protection de service ssh 

sudo nano /etc/fail2ban/jail.d/defaults-debian.conf

Mettre les ligne suivante si elle ne sont pas présente 

[sshd]
enabled = true

Suivre les Log 

sudo tail -f /var/log/auth.log


Activation Fail2ban pour le service Apache[modifier | modifier le wikicode]

Il faut ensuite créer notre prison ‘jail’, Pour commencer nous allons créer notre propre fichier jail. Aussi copier entièrement le fichier jail.conf de cette manière :Nous allons déclarer notre jail pour utiliser notre nouveau filtre avec fail2ban. 

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local


Ouvrer le fichier suivant 

nano /etc/fail2ban/jail.conf

Ajoutez ce contenu en fin de fichier : 

[apache-clientd]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/*error.log
maxretry = 3
action = iptables[name=HTTP, port=http, protocol=tcp]
bantime = 600
ignoreip=66.130.112.0/24

Suivre les logs 

sudo tail -f /var/log/apache2/error.log

Commande à connaitre[modifier | modifier le wikicode]

Connaître globalement le nombre d’IP bloqué grâce à Fail2ban : 

iptables -L -n -v

Listes des jails disponibles : 

fail2ban-client status


Connaître les IP bloqués grâce à une jail particulière : ici ssh 

fail2ban-client status ssh

Dé-bannir une IP de l'un de vos jails 

fail2ban-client set [nom du jail] unbanip [IP concerné]

fail2ban-client set ssh unbanip 172.16.110.50

Bannir manuellement une IP sur l'un de vos jails 

fail2ban-client set [nom du jail] banip [IP à bannir]

fail2ban-client set ssh banip 172.16.110.50
Récupérée de "https://mediawiki.gallaisivan.synology.me/index.php?title=Utilisation_de_fail2ban_(Linux)&oldid=1006"