Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveurs:installation:fail2ban [2021/05/14 15:42] – [Utilisations] jpmilcent
+++ serveurs:installation:fail2ban [2023/08/02 14:24] (Version actuelle) – [Installer Fail2ban] jpmilcent
@@ Ligne 6: / Ligne 6: @@
 ===== Installer Fail2ban =====
-  * Installer le paquet : ''aptitude install fail2ban''
+  * Installer le paquet : ''apt install fail2ban''
   * Le fichier de config par défaut à **ne pas modifier** de //Fail2ban// est : ''vi /etc/fail2ban/jail.conf''
   * Habituellement, il est nécessaire de créer un fichier local ''/etc/fail2ban/jail.local'' pour éviter l'écrasement de la config lors des mises à jour. Mais sous Debian ce fichier existe déjà sous le nom : ''vi  /etc/fail2ban/jail.d/defaults-debian.conf'' et contient déjà le service SSH activé.
@@ Ligne 24: / Ligne 24: @@
 # Ajouter ses ip pour éviter de se faire bannir
 # Ex.: ignoreip = 127.0.0.1/8 10.0.1.10 10.0.1.20 <ip-v4-db> <ip-v4-web>
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>
+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web> <ip-vpn-lpo>
 # 1 jour de bannissement
 #bantime = 86400
@@ Ligne 37: / Ligne 37: @@
 [postfix]
 enabled = true
 port = smtp,submission
 </code>
-    * Pour //web-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré :
+    * Pour //web-srv// et //bkp-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré :
       * Remplacer les 2 lignes existantes par le contenu suivant<code properties>
 [DEFAULT]
@@ Ligne 55: / Ligne 56: @@
 # Ajouter ses ip pour éviter de se faire bannir
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>
+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-private-bkp> <ip-v4-web> <ip-v4-db> <ip-v4-bkp>
 # 1 jour de bannissement
 #bantime = 86400
@@ Ligne 64: / Ligne 65: @@
 [sshd]
+backend=systemd
 enabled = true
 port = <port-ssh>
 [postfix]
+backend=systemd
 enabled = true
 port = smtp,submission
@@ Ligne 90: / Ligne 93: @@
     * Pour appliquer une nouvelle configuration, redémarrer le service //Fail2ban// : ''systemctl restart fail2ban''
       * Vérifier le status du service : ''systemctl status fail2ban''
-  * Corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers :
-    * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash>
-D /run/fail2ban 0755 root root -
-</code>
-    * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''.
-    * Prendre en compte les changements : ''systemctl daemon-reload''
-    * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.
 ===== Utilisations =====
+  * Document du client Fail2ban : https://manpages.debian.org/buster/fail2ban/fail2ban-client.1.en.html
   * Vérifier son fonctionnement dans les logs : ''vi /var/log/fail2ban.log''
   * Consulter l'état d'une prison (ici avec comme nom de prison : //nginx-http-auth//) : ''fail2ban-client status nginx-http-auth''
@@ Ligne 155: / Ligne 153: @@
   * Recharger la config de //Fail2ban// : '' systemctl reload fail2ban.service ''
   * Pour surveiller cette nouvelle prison : '' watch fail2ban-client status nginx-wordpress ''
+===== Problème fail2ban-tmpfiles.conf points to /var/run/ instead of /run =====
+Sous Debian 10, corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers :10
+  * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash>
+D /run/fail2ban 0755 root root -
+</code>
+  * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''.
+  * Prendre en compte les changements : ''systemctl daemon-reload''
+  * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.
+===== Problème 'allowipv6' not defined in 'Definition' =====
+  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>fail2ban.configreader   [874403]: WARNING 'allowipv6' not defined in
+'Definition'. Using default one: 'auto'</code>
+  * **Solution** : éditer le fichier ''vi /etc/fail2ban/fail2ban.conf'' et décommenter la ligne ''allowipv6 = auto''.
+===== Problème : failed during configuration: Have not found any log file for sshd jail =====
+  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>failed during configuration: Have not found any log file for sshd jail</code>
+  * **Solution** : Dans le fichier ''/etc/fail2ban/jail.d/defaults-debian.conf'' ajouter à la section ''[sshd]'' la propriété ''backend=systemd'', idem pour la section ''[postfix]''