Linux

Fail2Ban – Bien configurer sa jail recidive

Fail2ban permet de bannir les utilisateurs en cas d’échec de certaines actions. Par exemple sur l’erreur 403 d’une page web ou une authentification ssh incorrecte. Mais que pouvons-nous faire s’ils continuent à obtenir des tentatives infructueuses ?

L’idée principale est d’analyser les logs de Fail2ban et de vérifier qui a déjà été banni par d’autres règles, et de le bannir à nouveau à un intervalle plus long.

Pour cela, nous pouvons utiliser le filtre intégré recidive.conf.

Créer un fichier de jail : /etc/fail2ban/jail.d/recidive.conf

avec ce contenu :

[recidive]
enabled = true
logpath = /var/log/fail2ban.log
filter = recidive
# find how many times it was banned today
findtime = 86400 ; 1 day
# if it banned 4 times
maxretry = 4
# ban this user for 3 hours
bantime = 10800 ; 3 hours

Mais si nous voulons l’utiliser en “second niveau” par exemple pour interdire les utilisateurs pour une durée encore plus longue. Nous devrions modifier recidive.conf et ajouter ignoreregex pour exclure les IP déjà bannies par cette règle.

Il faut donc changer dans le fichier /etc/fail2ban/filter.d/recidive.conf :

ignoreregex =

par

ignoreregex = \[recidive.*\]\s+Ban\s+<HOST>

et créer ou modifier notre fichier /etc/fail2ban/jail.d/recidive.conf

[recidive1]
enabled = true
filter = recidive
bantime = 10800 ; 3 hours
findtime = 86400 ; 1 day
logpath = /var/log/fail2ban.log
maxretry = 4

[recidive2]
enabled = true
filter = recidive
bantime = 86400 ;1 day
findtime = 604800 ;1 week
logpath = /var/log/fail2ban.log
maxretry = 7

[recidive3]
enabled = true
filter = recidive
bantime = 604800 ;1 week
findtime = 2592000 ;1 month
logpath = /var/log/fail2ban.log
maxretry = 10

[recidive4]
enabled = true
filter =recidive
bantime = 2592000 ;1 month
findtime = 15552000 ;6 months
logpath = /var/log/fail2ban.log
maxretry = 20
Veuillez remplir les champs obligatoires.
Signaler un contenu



A propos de l'auteur

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian.

Ajouter un commentaire

Quelques règles à respecter :
  • 1. Restez dans le sujet de l'article
  • 2. Respectez les autres lecteurs : pas de messages agressifs, vulgaires, haineux,…
  • 3. Relisez-vous avant de soumettre un commentaire : pas de langage SMS, et vérifiez l'orthographe avant de valider (les navigateurs soulignent les fautes).
  • 4. En cas d'erreur, faute d'orthographe, et/ou omission dans l'article , merci de nous contacter via le bouton Signaler un contenu.
  • Nous nous réservons le droit de supprimer les commentaires qui ne respectent pas ces règles
    Cliquez ici pour poster un commentaire

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Ce site est hébergé avec ❤ par

    Ikoula

    Suivez nous sur les réseaux sociaux !

    ✉️ Abonnez-vous à notre newsletter

    Recevez par email toute l'actualité High-Tech chaque matin
    Abonnez-vous à notre newsletter et rejoignez les 1300 autres abonnés.
    2 - Entrer votre adresse email :
    Vous affirmez avoir pris connaissance de notre Politique de confidentialité. Vous pouvez vous désinscrire à tout moment à l'aide des liens de désinscription ou en nous contactant via le formulaire de contact

    Les articles les plus commenté

    Tester votre débit

    Les articles les plus vues

    Nouveau !

    Boutique de Goodies GeekParadize!