Linux

Fail2Ban – Bien configurer sa jail recidive

Fail2ban permet de bannir les utilisateurs en cas d’échec de certaines actions. Par exemple sur l’erreur 403 d’une page web ou une authentification ssh incorrecte. Mais que pouvons-nous faire s’ils continuent à obtenir des tentatives infructueuses ?

L’idée principale est d’analyser les logs de Fail2ban et de vérifier qui a déjà été banni par d’autres règles, et de le bannir à nouveau à un intervalle plus long.

Pour cela, nous pouvons utiliser le filtre intégré recidive.conf.

Créer un fichier de jail : /etc/fail2ban/jail.d/recidive.conf

avec ce contenu :

[recidive]
enabled = true
logpath = /var/log/fail2ban.log
filter = recidive
# find how many times it was banned today
findtime = 86400 ; 1 day
# if it banned 4 times
maxretry = 4
# ban this user for 3 hours
bantime = 10800 ; 3 hours

Mais si nous voulons l’utiliser en “second niveau” par exemple pour interdire les utilisateurs pour une durée encore plus longue. Nous devrions modifier recidive.conf et ajouter ignoreregex pour exclure les IP déjà bannies par cette règle.

Il faut donc changer dans le fichier /etc/fail2ban/filter.d/recidive.conf :

ignoreregex =

par

ignoreregex = \[recidive.*\]\s+Ban\s+<HOST>

et créer ou modifier notre fichier /etc/fail2ban/jail.d/recidive.conf

[recidive1]
enabled = true
filter = recidive
bantime = 10800 ; 3 hours
findtime = 86400 ; 1 day
logpath = /var/log/fail2ban.log
maxretry = 4

[recidive2]
enabled = true
filter = recidive
bantime = 86400 ;1 day
findtime = 604800 ;1 week
logpath = /var/log/fail2ban.log
maxretry = 7

[recidive3]
enabled = true
filter = recidive
bantime = 604800 ;1 week
findtime = 2592000 ;1 month
logpath = /var/log/fail2ban.log
maxretry = 10

[recidive4]
enabled = true
filter =recidive
bantime = 2592000 ;1 month
findtime = 15552000 ;6 months
logpath = /var/log/fail2ban.log
maxretry = 20
Veuillez remplir les champs obligatoires.
Signaler un contenu



A propos de l'auteur

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site est hébergé avec ❤ par

Ikoula

Suivez nous sur les réseaux sociaux !

✉️ Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 1300 autres abonnés.
2 - Entrer votre adresse email :
Vous affirmez avoir pris connaissance de notre Politique de confidentialité. Vous pouvez vous désinscrire à tout moment à l'aide des liens de désinscription ou en nous contactant via le formulaire de contact

Les articles les plus commenté

Tester votre débit

Les articles les plus vues

Nouveau !

Boutique de Goodies GeekParadize!