informatique:securite:fail2ban

Fail2ban

apt-get install fail2ban
Si vous avez un script init qui gère des règles iptables, penser à y insérer des start/stop du service fail2ban.
Le filter apache-auth fournis par défaut déconne pour moi, je créé donc un fichier filter par application avec son fichier de log (disons myapp).
  • Créer le fichier /etc/fail2ban/filter.d/myapp.conf :
    [Definition]
    failregex = \[client <HOST>\] user .* (authentication failure|not found|password mismatch).*$
    ignoreregex =
  • Ajouter ensuite la jail :
    [myapp]
    enabled  = true
    port     = http,https
    filter   = myapp
    action   = iptables-multiport[name=myapp, port="http,https"]
    logpath  = /var/log/apache2/myapp-error.log
  • Créer le fichier /etc/fail2ban/filter.d/asterisk.conf :
    [Definition]
    failregex = Registration from .* failed for '<HOST>:\d*' - Wrong password$
    ignoreregex =
  • Ajouter dans le fichier /etc/fail2ban/jail.conf :
    [asterisk]
    enabled  = True
    protocol = all
    port     = 5060
    filter   = asterisk
    logpath  = /var/log/asterisk/messages

La jail dovecot fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer. Vérifier également que dovecot log bien dans le fichier /var/log/mail.log.

Voir ici.

La jail sasl fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer.

  • informatique/securite/fail2ban.txt
  • Dernière modification : 2019/04/17 14:56
  • de bn8