serveurs:installation:fail2ban

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveurs:installation:fail2ban [2021/05/12 10:19] – [Fai2ban et Wordpress] jpmilcentserveurs:installation:fail2ban [2023/08/02 14:24] (Version actuelle) – [Installer Fail2ban] jpmilcent
Ligne 6: Ligne 6:
  
 ===== Installer Fail2ban ===== ===== Installer Fail2ban =====
-  * Installer le paquet : ''aptitude install fail2ban''+  * Installer le paquet : ''apt install fail2ban''
   * Le fichier de config par défaut à **ne pas modifier** de //Fail2ban// est : ''vi /etc/fail2ban/jail.conf''   * Le fichier de config par défaut à **ne pas modifier** de //Fail2ban// est : ''vi /etc/fail2ban/jail.conf''
   * Habituellement, il est nécessaire de créer un fichier local ''/etc/fail2ban/jail.local'' pour éviter l'écrasement de la config lors des mises à jour. Mais sous Debian ce fichier existe déjà sous le nom : ''vi  /etc/fail2ban/jail.d/defaults-debian.conf'' et contient déjà le service SSH activé.   * Habituellement, il est nécessaire de créer un fichier local ''/etc/fail2ban/jail.local'' pour éviter l'écrasement de la config lors des mises à jour. Mais sous Debian ce fichier existe déjà sous le nom : ''vi  /etc/fail2ban/jail.d/defaults-debian.conf'' et contient déjà le service SSH activé.
Ligne 24: Ligne 24:
 # Ajouter ses ip pour éviter de se faire bannir # Ajouter ses ip pour éviter de se faire bannir
 # Ex.: ignoreip = 127.0.0.1/8 10.0.1.10 10.0.1.20 <ip-v4-db> <ip-v4-web> # Ex.: ignoreip = 127.0.0.1/8 10.0.1.10 10.0.1.20 <ip-v4-db> <ip-v4-web>
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web> <ip-vpn-lpo>
 # 1 jour de bannissement # 1 jour de bannissement
 #bantime = 86400 #bantime = 86400
Ligne 37: Ligne 37:
  
 [postfix] [postfix]
 +
 enabled = true enabled = true
 port = smtp,submission port = smtp,submission
 </code> </code>
-    * Pour //web-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré : +    * Pour //web-srv// et //bkp-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré : 
       * Remplacer les 2 lignes existantes par le contenu suivant<code properties>       * Remplacer les 2 lignes existantes par le contenu suivant<code properties>
 [DEFAULT] [DEFAULT]
Ligne 55: Ligne 56:
  
 # Ajouter ses ip pour éviter de se faire bannir # Ajouter ses ip pour éviter de se faire bannir
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-private-bkp> <ip-v4-web> <ip-v4-db> <ip-v4-bkp
 # 1 jour de bannissement # 1 jour de bannissement
 #bantime = 86400 #bantime = 86400
Ligne 64: Ligne 65:
  
 [sshd] [sshd]
 +backend=systemd
 enabled = true enabled = true
 port = <port-ssh> port = <port-ssh>
  
 [postfix] [postfix]
 +backend=systemd
 enabled = true enabled = true
 port = smtp,submission port = smtp,submission
Ligne 90: Ligne 93:
     * Pour appliquer une nouvelle configuration, redémarrer le service //Fail2ban// : ''systemctl restart fail2ban''     * Pour appliquer une nouvelle configuration, redémarrer le service //Fail2ban// : ''systemctl restart fail2ban''
       * Vérifier le status du service : ''systemctl status fail2ban''       * Vérifier le status du service : ''systemctl status fail2ban''
-  * Utilisations : + 
-    * Vérifier son fonctionnement dans les logs : ''vi /var/log/fail2ban.log'' + 
-    * Consulter l'état d'une prison (ici avec comme nom de prison : //nginx-http-auth//) : ''fail2ban-client status nginx-http-auth'' +===== Utilisations ===== 
-    * Sortir de prison une IP : //fail2ban-client set <nom-de-prison> unbanip <IP-concernée>// +  * Document du client Fail2ban https://manpages.debian.org/buster/fail2ban/fail2ban-client.1.en.html 
-  * Corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers : +  * Vérifier son fonctionnement dans les logs : ''vi /var/log/fail2ban.log'' 
-    * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash> +  * Consulter l'état d'une prison (ici avec comme nom de prison : //nginx-http-auth//) : ''fail2ban-client status nginx-http-auth'' 
-D /run/fail2ban 0755 root root - +  * Sortir de prison une IP : '' fail2ban-client set <nom-de-prison> unbanip <IP-concernée> '' 
-</code> +  * Réinitialiser une prison : ''<nowiki> fail2ban-client reload --unban <nom-de-prison> </nowiki>''
-    * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''+
-    * Prendre en compte les changements : ''systemctl daemon-reload'' +
-    * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.+
  
 ===== Fai2ban et Wordpress ===== ===== Fai2ban et Wordpress =====
Ligne 111: Ligne 111:
     * [[https://www.it-connect.fr/securisez-votre-wordpress-avec-fail2ban/|Sécurisez votre WordPress avec Fail2ban]] : avec plugin WP-Fail2ban     * [[https://www.it-connect.fr/securisez-votre-wordpress-avec-fail2ban/|Sécurisez votre WordPress avec Fail2ban]] : avec plugin WP-Fail2ban
   * Ajouter un nouveau filtre : '' vi /etc/fail2ban/filter.d/nginx-wordpress.conf ''   * Ajouter un nouveau filtre : '' vi /etc/fail2ban/filter.d/nginx-wordpress.conf ''
-    * Par défaut, Wordpress retourne une code 200 que le login réussisse ou échoue. Deux solutions : modifier Worpdress pour retourner un code 403 ou utiliser le code 200 dans la regexp de détection et ne pas mettre trop bas le nombre de tentative d'essai.+    * Par défaut, Wordpress retourne une code 200 que le login réussisse ou échoue. Deux solutions :  
 +      - modifier Worpdress pour retourner un code 403 si le login échoue 
 +      - utiliser le code 200 dans la regexp de détection et ne pas mettre trop bas le nombre de tentative d'essai et la durée de rechercher (''findtime''
 +    * Nous avons opté pour la solution 2.
     * Contenue du fichier : <code properties>     * Contenue du fichier : <code properties>
 [Definition] [Definition]
Ligne 128: Ligne 131:
 # Values:  TEXT # Values:  TEXT
 # #
-failregex = ^<HOST> -.*"POST /%(file_preserved)s HTTP/[12]\.[01]" 200 .*+failregex = ^<HOST> -.*"POST /(%(file_preserved)sHTTP/[12]\.[01]" 200 .*
  
 # Option:  ignoreregex # Option:  ignoreregex
Ligne 150: Ligne 153:
   * Recharger la config de //Fail2ban// : '' systemctl reload fail2ban.service ''   * Recharger la config de //Fail2ban// : '' systemctl reload fail2ban.service ''
   * Pour surveiller cette nouvelle prison : '' watch fail2ban-client status nginx-wordpress ''   * Pour surveiller cette nouvelle prison : '' watch fail2ban-client status nginx-wordpress ''
 +
 +===== Problème fail2ban-tmpfiles.conf points to /var/run/ instead of /run =====
 +Sous Debian 10, corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers :10
 +  * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash>
 +D /run/fail2ban 0755 root root -
 +</code>
 +  * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''.
 +  * Prendre en compte les changements : ''systemctl daemon-reload''
 +  * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.
 +
 +===== Problème 'allowipv6' not defined in 'Definition' =====
 +  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>fail2ban.configreader   [874403]: WARNING 'allowipv6' not defined in 
 +'Definition'. Using default one: 'auto'</code>
 +  * **Solution** : éditer le fichier ''vi /etc/fail2ban/fail2ban.conf'' et décommenter la ligne ''allowipv6 = auto''.
 +
 +===== Problème : failed during configuration: Have not found any log file for sshd jail =====
 +  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>failed during configuration: Have not found any log file for sshd jail</code>
 +  * **Solution** : Dans le fichier ''/etc/fail2ban/jail.d/defaults-debian.conf'' ajouter à la section ''[sshd]'' la propriété ''backend=systemd'', idem pour la section ''[postfix]''
  • serveurs/installation/fail2ban.1620814740.txt.gz
  • Dernière modification : 2021/05/12 10:19
  • de jpmilcent