Fail2ban est un logiciel magique qui permet de bannir des IP qui tente de se connecter chez vous par des attaques dites de force brute. Il ajoute tout seul comme un grand les règles de filtrages iptables.
Installation
apt-get install fail2ban
Configuration
Les fichiers de configuration se trouve dans le répertoire /etc/fail2ban/.
Le principal fichier est jail.conf.
# Fail2Ban configuration file
#
[DEFAULT]
# “ignoreip” can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 900
maxretry = 3
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Explications
Dans notre cas, on s’intéresse aux connexions SSH (entrée [SSH] dans le fichier). Le fichier à analyser pour détecter les méchants est bien /var/log/auth.log.
La zone [DEFAULT] spécifie les règle de bannissement ainsi que leur durée.
Dans notre cas, au bout de 3 tentatives (maxfailures), l’IP est bloquée pour pendant 900s (bantime).
Démarrage de fail2ban
/etc/init.d/fail2ban start pour le lancement
/etc/init.d/fail2ban status pour connaitre l’état de fail2ban
Vérification des IP bannies
un petit tour du côté du fichier /var/log/fail2ban.log (cf le fichier de configuration) devrait vous fournir l’ensemble des informations. Il suffit alors de chercher la chaine de caractère “Ban”.