Fail2ban

Installation

apt-get install fail2ban

Si vous avez un script init qui gère des règles iptables, penser à y insérer des start/stop du service fail2ban.

Utilisation

Apache

Le filter apache-auth fournis par défaut déconne pour moi, je créé donc un fichier filter par application avec son fichier de log (disons myapp).

Créer le fichier /etc/fail2ban/filter.d/myapp.conf :

[Definition]
failregex = \[client <HOST>\] user .* (authentication failure|not found|password mismatch).*$
ignoreregex =

Ajouter ensuite la jail :

[myapp]
enabled  = true
port     = http,https
filter   = myapp
action   = iptables-multiport[name=myapp, port="http,https"]
logpath  = /var/log/apache2/myapp-error.log

Asterisk

Créer le fichier /etc/fail2ban/filter.d/asterisk.conf :

[Definition]
failregex = Registration from .* failed for '<HOST>:\d*' - Wrong password$
ignoreregex =

Ajouter dans le fichier /etc/fail2ban/jail.conf :

[asterisk]
enabled  = True
protocol = all
port     = 5060
filter   = asterisk
logpath  = /var/log/asterisk/messages

Dovecot

La jail dovecot fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer. Vérifier également que dovecot log bien dans le fichier /var/log/mail.log.

Roundcube

Voir ici.

Saslauthd

La jail sasl fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer.