informatique:securite:fail2ban [Zionetrix]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.

====== Fail2ban ======

===== Installation =====

<code>apt-get install fail2ban</code>

<note important>Si vous avez un script //init// qui gère des règles //iptables//, penser à y insérer des start/stop du service fail2ban.</note>

===== Utilisation =====

==== Apache ====

<note>Le filter //apache-auth// fournis par défaut déconne pour moi, je créé donc un fichier //filter// par application avec son fichier de log (disons //myapp//).</note>

  * Créer le fichier ///etc/fail2ban/filter.d/myapp.conf// : <code ini>
[Definition]
failregex = \[client <HOST>\] user .* (authentication failure|not found|password mismatch).*$
ignoreregex =
</code>

  * Ajouter ensuite la //jail// : <code ini>
[myapp]
enabled  = true
port     = http,https
filter   = myapp
action   = iptables-multiport[name=myapp, port="http,https"]
logpath  = /var/log/apache2/myapp-error.log
</code>


==== Asterisk ====

  * Créer le fichier ///etc/fail2ban/filter.d/asterisk.conf// : <code ini>
[Definition]
failregex = Registration from .* failed for '<HOST>:\d*' - Wrong password$
ignoreregex =
</code>

  * Ajouter dans le fichier ///etc/fail2ban/jail.conf// : <code ini>
[asterisk]
enabled  = True
protocol = all
port     = 5060
filter   = asterisk
logpath  = /var/log/asterisk/messages
</code>
==== Dovecot ====

La //jail// //dovecot// fournis par défaut (en //wheezy//) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer. Vérifier également que //dovecot// log bien dans le fichier /var/log/mail.log.

==== Roundcube ====

Voir [[informatique:reseau:messagerie:roundcube#fail2ban|ici]].

===== Saslauthd =====

La //jail// //sasl// fournis par défaut (en //wheezy//) fonctionne nickel. Il y a donc simplement à l'activer et éventuellement adapter les ports à bloquer.