Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 05/10/2012, à 03:50

renaud07

fail2ban : banissement infini

Bonsoir (ou bonjour pour les lève très tôt tongue),

Pour mieux sécuriser mon serveur j'aimerais que fail2ban bannisse à l'infini les adresses IP et non pas pendant un temps donné et que celui-ci les enregistre dans un ficher texte ou je pourrais aller les débloquer en cas de bourde. Est-ce possible d'avoir ce fonctionnement ?

Merci

Dernière modification par renaud07 (Le 05/10/2012, à 03:52)

Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#2 Le 05/10/2012, à 08:01

bruno

Re : fail2ban : banissement infini

Il suffit de lire la doc (ou faire une rapide recherche sur le web)  pour trouver qu'il faut écrire :

bantime  = -1

dans ton fichier jail.local

#3 Le 05/10/2012, à 15:05

renaud07

Re : fail2ban : banissement infini

Merci j'avais trouvé après coup par contre est-ce qui y'a moyen de débloquer une IP ? fail2ban les garde dans un ficher texte ou il faut le configurer ?

Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#4 Le 05/10/2012, à 16:52

mazarini

Re : fail2ban : banissement infini

J'imagine facilement que ta liste de bannis va vite devenir infinie... et le temps de traitement des règles va devenir très long.

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#5 Le 05/10/2012, à 18:20

bruno

Re : fail2ban : banissement infini

Je ne me souviens plus des commandes mais il y a une option de fail2ban-client pour bannir/dé-bannir manuellement (voir la page d'aide). Sinon tu peux agir directement sur les règles iptables générés.
La remarque de mazzarini est très pertinente si tu as beaucoup d'IPbannies cela peu devenir un gros problème. Personnellement je n'utilise plus fail2ban car je trouve cela relativement lourd et peu efficace.

#6 Le 05/10/2012, à 18:27

renaud07

Re : fail2ban : banissement infini

bruno a écrit :

Personnellement je n'utilise plus fail2ban car je trouve cela relativement lourd et peu efficace.

Tu utilises quoi à la place ?

Fixe : AMD FX 8350 4Ghz - Asus M5A97 R2.0 - nVidia GT610 - RAM 8 Go - triple boot Ubuntu 18.04 MATE 64 bits / Manjaro MATE 17 64 bits / Windows 7 64 bits
Portable : Dell vostro 3550 - Intel core i5 2410M 2.30Ghz  - HD Gaphics 3000 - RAM 4 Go - dualboot Xubuntu 18.04 64 bits / Windows 7 64 bits

Hors ligne

#7 Le 06/10/2012, à 13:32

bruno

Re : fail2ban : banissement infini

Rien, je laisse faire iptables avec des règles un peu plus strictes. Certains services comme SSH écoutent sur d'autres ports que les ports par défaut ce qui limite drastiquement les tentatives d'intrusion et le remplissage des logs.

#8 Le 06/10/2012, à 15:40

Pseudo supprimé

Re : fail2ban : banissement infini

Je vois plutôt fail2ban comme un préfiltre utile avec un banissement léger & moyen.

De là, à tout miser dessus, question sécurité, pour bannir définitivement, est aveugle...., voir contre-productif.

Derrière, je mets pour bannir fermement ( ce qui revient à ne pas autoriser l'accès )
Denyhosts
Deny les user-agent pourris (bad_bot)
http mod evasive geoip
réglage fin des ressources serveurs postfix, sshd, vhost ...
x509 client

/etc/hosts.deny
iptables + mod geoip + A1(proxies)A2 + 25,587,465,143,...

#9 Le 06/10/2012, à 20:12

mazarini

Re : fail2ban : banissement infini

bruno a écrit :

Rien, je laisse faire iptables avec des règles un peu plus strictes. Certains services comme SSH écoutent sur d'autres ports que les ports par défaut ce qui limite drastiquement les tentatives d'intrusion et le remplissage des logs.

Je ne suis pas sur que changer le port ssh soit une sécurité. Il suffit de scanner les port pour trouver le port ssh.

Autrement, j'ai découvert knockd. Ca permet de lancer une commande puis éventuellement une seconde commande après un certain temps. Le lancement se fait sur un envoi de paquet sur des ports.
En pratique on déclenche l'ouverture du port 22 pour l'adresse IP demandeuse qui se referme quelques secondes après.

S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#10 Le 06/10/2012, à 22:27

Zakhar

Re : fail2ban : banissement infini

Sympa knockd !

Et il existe aussi le "client" pour frapper à la porte ou il faut s'écrire soi-même un truc. tongue

Edit: oops, pas lu jusqu'en bas de la documentation de knockd... visiblement c'est livré avec "knock" qui est le "client" simple !

Dernière modification par Zakhar (Le 06/10/2012, à 22:30)

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#11 Le 07/10/2012, à 08:58

bruno

Re : fail2ban : banissement infini

Je ne suis pas sur que changer le port ssh soit une sécurité. Il suffit de scanner les port pour trouver le port ssh.

Non pas vraiment, la sécurité se gère en premier lieu au niveau de la configuration du service. Le but est surtout d'éviter que des machines vérolés envoient des dizaines de requêtes vers un service.
Par ailleurs les scanners de ports testent rarement les ports supérieurs à 1024 et on peut les bloquer (ou au moins les ralentir suffisamment) avec quelques règles iptables.

Pages : 1