Fail2ban
Installation
apt-get install fail2ban
Si vous avez un script init qui gère des règles iptables, penser à y insérer des start/stop du service fail2ban.
Utilisation
Apache
Le filter apache-auth fournis par défaut déconne pour moi, je créé donc un fichier filter par application avec son fichier de log (disons myapp).
- Créer le fichier /etc/fail2ban/filter.d/myapp.conf :
[Definition] failregex = \[client <HOST>\] user .* (authentication failure|not found|password mismatch).*$ ignoreregex =
- Ajouter ensuite la jail :
[myapp] enabled = true port = http,https filter = myapp action = iptables-multiport[name=myapp, port="http,https"] logpath = /var/log/apache2/myapp-error.log
Asterisk
- Créer le fichier /etc/fail2ban/filter.d/asterisk.conf :
[Definition] failregex = Registration from .* failed for '<HOST>:\d*' - Wrong password$ ignoreregex =
- Ajouter dans le fichier /etc/fail2ban/jail.conf :
[asterisk] enabled = True protocol = all port = 5060 filter = asterisk logpath = /var/log/asterisk/messages
Dovecot
La jail dovecot fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer. Vérifier également que dovecot log bien dans le fichier /var/log/mail.log.
Roundcube
Voir ici.
Saslauthd
La jail sasl fournis par défaut (en wheezy) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer.