serveurs:installation:fail2ban

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveurs:installation:fail2ban [2023/05/23 15:20] – [Installer Fail2ban] jpmilcentserveurs:installation:fail2ban [2023/08/02 14:24] (Version actuelle) – [Installer Fail2ban] jpmilcent
Ligne 24: Ligne 24:
 # Ajouter ses ip pour éviter de se faire bannir # Ajouter ses ip pour éviter de se faire bannir
 # Ex.: ignoreip = 127.0.0.1/8 10.0.1.10 10.0.1.20 <ip-v4-db> <ip-v4-web> # Ex.: ignoreip = 127.0.0.1/8 10.0.1.10 10.0.1.20 <ip-v4-db> <ip-v4-web>
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web> <ip-vpn-lpo>
 # 1 jour de bannissement # 1 jour de bannissement
 #bantime = 86400 #bantime = 86400
Ligne 37: Ligne 37:
  
 [postfix] [postfix]
 +
 enabled = true enabled = true
 port = smtp,submission port = smtp,submission
 </code> </code>
-    * Pour //web-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré : +    * Pour //web-srv// et //bkp-srv//, décommenter les sections concernant Nginx, une fois le serveur web installé et configuré : 
       * Remplacer les 2 lignes existantes par le contenu suivant<code properties>       * Remplacer les 2 lignes existantes par le contenu suivant<code properties>
 [DEFAULT] [DEFAULT]
Ligne 55: Ligne 56:
  
 # Ajouter ses ip pour éviter de se faire bannir # Ajouter ses ip pour éviter de se faire bannir
-ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-db> <ip-v4-web>+ignoreip = 127.0.0.1/8 <ip-v4-private-web> <ip-v4-private-db> <ip-v4-private-bkp> <ip-v4-web> <ip-v4-db> <ip-v4-bkp
 # 1 jour de bannissement # 1 jour de bannissement
 #bantime = 86400 #bantime = 86400
Ligne 64: Ligne 65:
  
 [sshd] [sshd]
 +backend=systemd
 enabled = true enabled = true
 port = <port-ssh> port = <port-ssh>
  
 [postfix] [postfix]
 +backend=systemd
 enabled = true enabled = true
 port = smtp,submission port = smtp,submission
Ligne 90: Ligne 93:
     * Pour appliquer une nouvelle configuration, redémarrer le service //Fail2ban// : ''systemctl restart fail2ban''     * Pour appliquer une nouvelle configuration, redémarrer le service //Fail2ban// : ''systemctl restart fail2ban''
       * Vérifier le status du service : ''systemctl status fail2ban''       * Vérifier le status du service : ''systemctl status fail2ban''
-  * Corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers : +
-    * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash> +
-D /run/fail2ban 0755 root root - +
-</code> +
-    * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''+
-    * Prendre en compte les changements : ''systemctl daemon-reload'' +
-    * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.+
  
 ===== Utilisations ===== ===== Utilisations =====
Ligne 156: Ligne 153:
   * Recharger la config de //Fail2ban// : '' systemctl reload fail2ban.service ''   * Recharger la config de //Fail2ban// : '' systemctl reload fail2ban.service ''
   * Pour surveiller cette nouvelle prison : '' watch fail2ban-client status nginx-wordpress ''   * Pour surveiller cette nouvelle prison : '' watch fail2ban-client status nginx-wordpress ''
 +
 +===== Problème fail2ban-tmpfiles.conf points to /var/run/ instead of /run =====
 +Sous Debian 10, corriger le bug [[https://github.com/fail2ban/fail2ban/issues/2371|fail2ban-tmpfiles.conf points to /var/run/ instead of /run]], en éditant les fichiers :10
 +  * ''vi /usr/lib/tmpfiles.d/fail2ban-tmpfiles.conf'' et y remplacer le chemin comme suit : <code bash>
 +D /run/fail2ban 0755 root root -
 +</code>
 +  * ''vi /lib/systemd/system/fail2ban.service'' et y remplacer les occurrences de ''/var/run/'' par ''/run/''.
 +  * Prendre en compte les changements : ''systemctl daemon-reload''
 +  * Si le problème vient à se renouveller suite à une mise à jour de Fail2ban, utiliser la technique mise en place pour le service Docker sur l'instance //db-srv// pour surcharger le service //Fail2ban//.
 +
 +===== Problème 'allowipv6' not defined in 'Definition' =====
 +  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>fail2ban.configreader   [874403]: WARNING 'allowipv6' not defined in 
 +'Definition'. Using default one: 'auto'</code>
 +  * **Solution** : éditer le fichier ''vi /etc/fail2ban/fail2ban.conf'' et décommenter la ligne ''allowipv6 = auto''.
 +
 +===== Problème : failed during configuration: Have not found any log file for sshd jail =====
 +  * **Contexte** : le service SystemD fail2ban (''systemctl status fail2ban'') affiche le message <code>failed during configuration: Have not found any log file for sshd jail</code>
 +  * **Solution** : Dans le fichier ''/etc/fail2ban/jail.d/defaults-debian.conf'' ajouter à la section ''[sshd]'' la propriété ''backend=systemd'', idem pour la section ''[postfix]''
  • serveurs/installation/fail2ban.1684855208.txt.gz
  • Dernière modification : 2023/05/23 15:20
  • de jpmilcent