fail2ban-logo

Guide Debian 7 (partie 5/8) : Fail2ban, gardien de votre serveur

Temps de lecture : 1 minute

Cet article fait partie d’une série de billets portant sur la mise en place d’un serveur sous Debian Wheezy (sommaire du guide Debian Wheezy).

Introduction

Fail2ban est un petit programme chargé de surveiller les logs de votre serveur à la recherche de comportements suspects. Pour reprendre la métaphore utilisée dans un article précédent, si votre serveur était votre maison et SSH la porte d’entrée, fail2ban serait un imposant molosse attendant tranquillement sur le pas de la porte d’éventuels voleurs (en théorie, il ne fera rien au facteur).

Fail2ban se configure simplement via un système de prison et permet de bannir les IP dangereuses en ajoutant dynamiquement des règles à IPTables.

Installation

On commence par l’installer :

Rapide configuration pour bannir les tentatives infructueuses de connexion via SSH :

On bannit après 3 tentatives de connexion pour 15 minutes (rien ne vous empêche d’être beaucoup plus sévère) :

Conseil : évitez d’utiliser une valeur trop haute pour la durée de bannissement. En effet, si vous vous bannissez par erreur (ce qui n’arrivera pas si vous utilisez un certificat SSH), vous devrez attendre, ce qui peut poser problème en cas d’urgence. Dans tous les cas, trouvez le juste milieu, et, si une IP est trop insistante, vous pourrez prendre les mesures nécessaires pour la bannir plus longtemps.

Prise en compte des changements :

Il est possible de vérifier les bans en surveillant les logs :

Revevoir des mails de fail2ban

Par défaut, fail2ban utilise sendmail pour l’envoi de rapport, et ça tombe plutôt bien, puisque nous aussi.

On édite de nouveau le fichier jail.conf :

Modification de l’adresse mail destinée à recevoir les rapport :

Et l’étape à ne pas oublier, on active l’action permettant l’envoi de rapport :

Les actions disponibles :

  • action_ => simple ban
  • action_mw => ban et envoi de mail
  • action_mwl => ban, envoi de mail accompagné des logs
Tags :

Réagissez à l'article

  • fsebbah

    Bonjour,
    D’abord un grand merci pour ces articles qui me rendent de grands services dans l’administration de mon serveur sous Debian. Question pratique. Existe-t-il une grande différence entre les installations via apt-get et aptitude. J’ai plus l’habitude de apt-get mais peut-être que quelque chose change avec aptitude ?
    Merci,
    Franck

    • https://twitter.com/robin_parisi Robin

      Salut Franck,

      Je ne suis pas un expert mais si je ne dis pas de bêtisesa, Debian recommande l’utilisation d’aptitude. Il y de nombreux articles sur le sujet qui expliquent notamment les petites différences qui existent entre les deux. Au final, aucun souci si tu utilises apt-get, il faut juste en choisir un.