Utilisation de fail2ban (Linux)

De Travail-ivan

Utilisation de fail2ban

Prérequis

Mettre a jour les dépôt 

sudo apt update

Installer le paquet fail2ban 

sudo apt install fail2ban


Installer le paquet apache 

sudo apt install apapche2

sudo apt install apapche2-utils

Installer le paquet ssh 

sudo apt install ssh


Mise en Œuvre du système de détection d’intrusion -IDS- Fail2ban

Lancer le service fail2ban 

sudo systemctl start fail2ban

Définir un démarrage automatique de ce service 

sudo systemctl enable fail2ban

contrôler que l’IDS est activé 

sudo systemctl status fail2ban
  • Si la réponse comporte du rouge et le mot "failed" " sur la ligne commençant par "Active :", les dernières lignes du message indiquent les raisons de l'échec et permettent sa correction avant un nouvel essai.
  • Si la réponse comporte du vert et les mots "active (running)" sur la ligne commençant par "Active :", le service est installé et actif.
  • Maintenant que le serveur WEB est prêt

Protection du service SSH

Activer la protection de service ssh 

sudo nano /etc/fail2ban/jail.d/defaults-debian.conf

Mettre les ligne suivante si elle ne sont pas présente 

[sshd]
enabled = true

Suivre les Log 

sudo tail -f /var/log/auth.log


Activation Fail2ban pour le service Apache

Il faut ensuite créer notre prison ‘jail’, Pour commencer nous allons créer notre propre fichier jail. Aussi copier entièrement le fichier jail.conf de cette manière :Nous allons déclarer notre jail pour utiliser notre nouveau filtre avec fail2ban. 

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local


Ouvrer le fichier suivant 

nano /etc/fail2ban/jail.conf

Ajoutez ce contenu en fin de fichier : 

[apache-clientd]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/*error.log
maxretry = 3
action = iptables[name=HTTP, port=http, protocol=tcp]
bantime = 600
ignoreip=66.130.112.0/24

suivre les logs 

sudo tail -f /var/log/apache2/error.log

Connaître globalement le nombre d’IP bloqué grâce à Fail2ban : iptables -L -n -v

Listes jails disponibles : fail2ban-client status status |- Number of jail: 9 `- Jail list: apache-noscript, pam-generic, postfix, ssh-ddos, apache-multiport, dropbear, ssh, apache-overflows, apache

Connaître les IP bloqués grâce à une jail particulière : ici ssh fail2ban-client status ssh

Dé-bannir une IP de l'un de vos jails Une de vos adresse IP se retrouve blacklisté suite à une mauvaise manips répété ou un test de sécurité. Vous pouvez le retirer de la liste des IP blacklisté de fail2ban avec cette commande : fail2ban-client set [nom du jail] unbanip [IP concerné]

Bannir manuellement une IP sur l'un de vos jails Vous voulez tester plus rapidement l'interdiction d'un accès d'un PC, ou bloquer une personne malveillante. Renseignez son IP dans cette commande : fail2ban-client set [nom du jail] banip [IP à bannir]

Récupérée de "https://mediawiki.gallaisivan.synology.me/index.php?title=Utilisation_de_fail2ban_(Linux)&oldid=1003"