Proteger son serveur des attaques par force brute avec fail2ban

Fail2BanFail2ban est un outil scrutant les fichiers de log générés par les serveurs tel que apache, mysql, ssh, ... pour ensuite bannir  les adresses IP ayant eu trop de tentatives de connexion échouées. La méthode de bannissement utilisée est l'ajout d'une règle entrante au pare-feu iptables.

L'activation d'un service à surveiller entre autre,  se fait par l’intermédiaire du fichier : /etc/fail2ban/jail.conf.

Pour les curieux, allez dans /etc/fail2ban/filter.d/

L’édition ou la création de nouveaux filtres se fait facilement.

Pour vérifier la bonne détection des expressions, utiliser la commande fail2ban-regex CHEMIN/DU/FICHIER/LOG /etc/fail2ban/filter.d/FILTRE_VOULU

Il m'est arrivé d'avoir des soucis avec les logs du service PROFTPD qui me générait la date en français.

Found a match for 'a *** proftpd[4406] ***.***.***.*** (LCaen-156-**-34-209.w80-15.abo.wanadoo.fr[::ffff:80.**.4.209]): USER marvil (Login failed): Incorrect password.
' but no valid date/time found for 'oût 01 12:10:11'. Please contact the author in order to get support for this format

Je l'ai résolu provisoirement en changeant ma variable locale LANG=

Pour debian et ubuntu :

?View Code BASH
dpkg-reconfigure locales

mon choix a été de prendre en_US.UTF-8

tags : brute force fail2ban geekerie hacking locales piratage pl-fr proftpd serveur son
1 vote
01/08/2011 14:28
Ecrit par Malangot - Afficher l'article originel
Vus : 2081
Publié par Malangot : 14