in , , ,

Guide de configuration de base de fail2ban pour prévenir les attaques par force brute !

Évitez les attaques par force brute avec fail2ban !

Fail2ban est un logiciel pour empêcher les attaques par force brute. Puisqu’il analyse les journaux, il prend certaines mesures telles que la création de règles dans le pare-feu et l’envoi d’une alerte à l’administrateur. Après l’installation, nous pouvons utiliser différents filtres pour différents services (ssh, postfix…). Fail2ban : Configuration de base pour empêcher les attaques par force brute. Selon le site Web de l’outil lui-même , Fail2ban est capable de réduire le taux de tentatives de connexion non désirées , mais cela n’élimine pas le risque d’échec du système d’authentification.

Installation Fail2ban

Dans un premier temps il faut dire que les prérequis de base sont python>=2.X et un firewall, dans ce cas ce sera iptables . L’installation peut se faire à partir du code source, cependant pour faciliter les choses nous utiliserons le gestionnaire de paquets dans un environnement Ubuntu.

sudo apt update

sudo apt install fail2ban

Pour installer fail2ban sur Fedora, exécutez :

sudo dnf install fail2ban

Si vous utilisez toujours CentOS, exécutez :

sudo yum install fail2ban

Fichiers et répertoires importantsFail2ban : configuration de base pour empêcher les attaques par force brute

Avant de configurer, il est nécessaire de connaître certains termes et fichiers de base.

  • Filtres : un filtre est défini avec des expressions régulières, qui correspondent à des modèles de tentatives d’intrusion dans les journaux.
  • Actions : définit les commandes à exécuter, par exemple, bloquer ou libérer une certaine IP.
  • Jail(jails): combine des filtres avec des actions.
  • /etc/fail2ban/fail2ban.conf : fichier avec les paramètres de base.
  • /etc/fail2ban/jail.conf : fichier avec les paramètres des services surveillés, combinant filtres et actions. En fait, configuré par l’utilisateur, il est recommandé d’utiliser jail.local au lieu de jail.conf.
  • /etc/fail2ban/action.d/ : répertoire où se trouvent les règles d’action à prendre, en cas de correspondance des filtres.
  • /etc/fail2ban/filter.d/ : répertoire avec des expressions et des modèles pour détecter les attaques.

fichier fail2ban jail.local

Maintenant qu’il est installé, configurons-le pour surveiller un service. Dans le cas expliquant ligne par ligne :

  • Activation de la vérification avec enabled = true.
  • Demander d’utiliser le filtre sshd qui se trouve dans le dossier /etc/fail2ban/filter.d/ (le filtre existe déjà, pas besoin de le changer).
  • En utilisant 1 script d’action iptables qui se trouve dans /etc/fail2ban/filter.d/.
  • Utilisation de la variable logpath pour dire le fichier journal, qui sera utilisé pour vérifier les tentatives de connexion infructueuses.
  • Avec maxretry , nous disons le montant maximum qu’un utilisateur peut se tromper de mot de passe avant l’interdiction d’IP.
  • Bantime  est la durée de l’interdiction IP en secondes.
  • Et enfin avec  ignoreip , comme son nom l’indique, nous demandons d’ignorer les plages d’adresses IP.
[ssh]
enabled = true
filter = sshd
action = iptables[name=ssh, port=”ssh”, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
ignoreip = 127.0

Commandes fail2ban de base

Départ:

service fail2ban start

Vérification de l’adresse IP bloquée :

iptables -L

Déblocage IP (où le <Nom de la chaîne> et <IP> nous avons obtenu dans la commande ci-dessus) :

iptables -D fail2ban- -s -j DROP

Vérification du journal :

tail /var/log/fail2ban.log

Vérification des services configurés/Jail :

fail2ban-client status

Vérification de l’état des services/de la prison :

fail2ban-client status ssh

Vérification du filtre (regex):

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

À propos de Fail2ban : configuration de base pour empêcher les attaques par force brute

Fail2ban est une excellente alternative pour prévenir les attaques par force brute, mais il ne vous sauvera pas en cas de mots de passe faibles et d’autres politiques de sécurité erronées. Mais je pense que vous serez surpris par le nombre d’adresses IP bloquées après l’avoir installé sur une machine avec des ports ouverts sur Internet.

Cependant, il est possible de réaliser des tests, à cet effet, rater votre mot de passe SSH plus de fois que le maximum autorisé, et vérifier que l’IP de votre machine sera bien bloquée. Enfin, ce n’est qu’un moyen de configurer le logiciel, car il peut être utilisé avec différents systèmes d’exploitation et différentes manières de bloquer l’accès (autres pare-feu).

Si vous avez besoin de plus d’informations ou d’un accès au code fail2ban, cliquez sur le bouton ci-dessous.

fail2ban GitHub

Qu'est-ce que tu penses?

Comment installer et utiliser SYSDIG pour surveiller l’activité sous Linux

Le plus grand marché du dark web pour les cartes volées UniCC dit qu’il arrête.