LINUX:Fail2Ban
→ retour au menu pour contrer les attaques
But
"fail2ban" est un logiciel qui se charge d'analyser les logs de divers services installés sur la machine, pour bannir automatiquement un hôte via le firewall "iptables" pour une durée déterminée, après un certain nombre de tentatives infructueuses. Il s'intéresse spécialement aux authentifications. C'est un élément essentiel pour sécuriser son système, et éviter des intrusions via brute-force.
Installation
Pour installer ce programme, exécutez la commande suivante:
dnf install fail2ban-server
et éventuellement:
dnf install fail2ban-mail dnf install fail2ban-sendmail
Configuration
Les fichiers de configurations de retrouvent dans l'arborescence du répertoire "/etc/fail2ban". Celui qui nécessite principalement notre attention est le fichier "jail.conf". C'est dans celui-ci que sont listé tous les modules; par défaut, ils sont tous désactivés; il faut dont activer ceux qui concernent notre serveur. Il est fortement conseillé de ne pas modifier des fichiers d'origine. Par contre, on crée un fichier du même nom mais dont l’extension est ".local"; celui-ci ne contiendra que les options qui changent reprises sous leur section correspondance. Une section est repérable par un nom repris entre crochets. (exemple "[sshd]") Ces options seront appliquées en fin de lecture des configurations et écraseront les définitions des options correspondantes appliquées plus tôt.
Service
On doit activer et lancer le service correspondant:
systemctl enable fail2ban systemctl start fail2ban
Statuts
On passer en revue l'état des différents modules et ainsi repérer quelles sont les adresses IP bannies.
Le script suivant y pourvoie; le résultat est placé dans le fichier "f2b.lis":
#!/bin/bash
# statut des modules actifs de Fail2ban
# lister les modules actifs
/usr/bin/fail2ban-client status > f2b.lis
/usr/bin/grep "Jail list:" f2b.lis | /usr/bin/awk -F ":" '{printf("%s\n",$2)}' > temp1.log
/usr/bin/sed -i 's/,/ /g' temp1.log
LISTE=`/usr/bin/cat temp1.log`
/usr/bin/rm -f temp1.log
# passer le statut de chaque module actif
for I in $LISTE
do
echo "======================================" >> f2b.lis
echo $I >> f2b.lis
/usr/bin/fail2ban-client status $I >> f2b.lis
done
Voici un extrait pour les modules "apache-auth" et "sshd":
====================================== apache-auth Status for the jail: apache-auth |- Filter | |- Currently failed: 1 | |- Total failed: 9 | `- File list: /var/log/httpd/error_log /var/log/httpd/ssl_error_log /var/log/httpd/ssl_access_log /var/log/httpd/access_log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.20 ====================================== sshd Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 4 | `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.20
On y voit qu'une adresse IP a été bannie par deux modules.
Pour repérer directement dans le firewall les adresses IP bannies, voici la commande:
/usr/sbin/iptables -L -n
Voici un extrait pour les deux mêmes modules:
Chain INPUT (policy ACCEPT) target prot opt source destination f2b-sshd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 6444 f2b-apache-auth tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
Chain f2b-apache-auth (1 references) target prot opt source destination REJECT all -- 192.168.1.20 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain f2b-sshd (1 references) target prot opt source destination REJECT all -- 192.168.1.20 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0
On pourra remarquer que les règles sont liées aux modules qui ont eu un bannissement reprises sous forme de chaînes du même nom.
Pour enlever une adresse IP bannie, utilisez la commande suivante:
fail2ban-client set <module> unbanip <adresse IP>
par exemple pour les modules "apache-auth" et "sshd" qui bloquent l'adresse IP "192.168.1.20", ces commandes sont:
fail2ban-client set apache-auth unbanip 192.168.1.20 fail2ban-client set sshd unbanip 192.168.1.20
→ retour au menu pour contrer les attaques