Pages : 1
#1 Le 07/07/2012, à 07:14
- arno974
Fail2Ban Paramétrage et fonctionnement
Bonjour à tous,
J'ai récemment fait l''acquisition d'une dedibox.
Afin de sécuriser un minimum la bestiole, j'ai notamment installé fail2ban.
Si j'ai bien compris, cette application est censée filtrer les tentatives de connexion infructueuse en créant des règles spécifiques dans iptables.
Sur le papier, cela correspond exactement à ce dont j'ai besoin.
Mais dans les faits, quand je reçois le rapport journalier, j'ai toujours de très nombreuses tentatives de connexion.
Ce qui me fait dire que mon installation de fail2ban n'est pas optimale.
Voici un exemple avec le log de hier :
pam_unix
sshd:
Authentication Failures:
unknown (server1.etstec.com): 1946 Time(s)
unknown (219.254.35.83): 1415 Time(s)
root (server1.etstec.com): 653 Time(s)
root (118.182.246.11): 532 Time(s)
unknown (223.4.85.20): 316 Time(s)
root (ec2-46-51-216-113.ap-southeast-1.compute.amazonaws.com): 218 Time(s)
unknown (114.251.240.133): 203 Time(s)
Côté configuration, voilà ce que j'ai (dans mon fichier jail.local) :
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
bantime = 900 #15min
maxretry = 6
Il est censé m'envoyer un mail que je ne reçois jamais.
Sauriez-vous d'où cela pourrait provenir ?
Merci pour votre aide
Arnaud
Hors ligne
#2 Le 08/07/2012, à 12:42
- Bigcake
Re : Fail2Ban Paramétrage et fonctionnement
Bonjour,
La première chose a faire est de changer le N° du port de connexion ssh (> 1024), ça va faire tomber drastiquement le nombre de tentative de connexion
Je te conseille de lire ce petit tuto pour la sécurisation d'un serveur, dont une partie sur fail2ban :
http://www.alsacreations.com/tuto/lire/ … ables.html
Ici c'est un autre tuto très bien fait pour la configuration de sshd :
http://www.papygeek.com/linux/securisat … rveur-ssh/
Bon après t'est pas obligé de suivre à la lettre les 2 tuto, mais prend ce qui te conviens le mieux ^^
Dernière modification par Bigcake (Le 08/07/2012, à 12:44)
"Les gens" ne sont pas cons, ils ont été habitués à la facilité et à la désinformation. Le meilleur moyen de ne pas les aider, c'est de se moquer. Le meilleur moyen de les aider, c'est de les informer, encore et encore. La réflexion viendra. N'oubliez pas que vous aussi, vous êtes le con d'un autre.
Smartphone+GNU/Linux=Librem5
Hors ligne
#3 Le 09/07/2012, à 20:57
- arno974
Re : Fail2Ban Paramétrage et fonctionnement
Bonjour BigCake,
Effectivement le changement de port du ssh permettra de diminuer les bots automatiques.
Néanmoins, cela ne va pas repousser une tentative avec par exemple un scan des ports ouverts.
Je vais continuer à investiguer avec les tutos que tu m'as conseillé.
Arnaud
Hors ligne
#4 Le 09/07/2012, à 21:35
- sorrodje
Re : Fail2Ban Paramétrage et fonctionnement
Je te rajoute mon expérience perso sur vKS OVH ou VPS Gandi :
fail2ban bannit les tentatives mais ne les empêche pas . ceci dit ce n'est pas dangereux si tu interdis la connexion par mot de passe et que tu mets en place un systeme d'autorisation par clés. pour les scanneurs de ports , portsentry fontionne très bien.
Attention au changement de port ssh si tu tiens à bénéficier un jour d'un éventuel support de l'hébergeur.
Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org
Hors ligne
Pages : 1