Pour information: Un script est disponible pour les membres.
fail2ban est une application qui analyse les logs de divers services (SSH, Apache, FTP…) en cherchant des correspondances entre des motifs définis dans ses filtres et les entrées des logs. Lorsqu’une correspondance est trouvée une ou plusieurs actions sont exécutées. Typiquement, fail2ban cherche des tentatives répétées de connexions infructueuses dans les fichiers journaux et procède à un bannissement en ajoutant une règle au pare-feu iptables ou nftables pour bannir l’adresse IP de la source.
Installation:
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
Réglez les paramètres suivants:
bantime.increment = true
ignoreip
destemail =
sender =
bantime =
findtime =
maxretry =
action =
Et activez les services qui vous sont nécessaire en ajoutant “enabled = true” ex:
[sshd]
enabled = true
mode = normal
port = $SSHPORT
logpath = %(sshd_log)s
backend = %(sshd_backend)s
sudo systemctl restart fail2ban
Pense-bête:
Bannir une ip:
sudo fail2ban-client set apache-botsearch banip <ip address>
Dé bannir une ip:
sudo fail2ban-client set apache-botsearch unbanip <ip address>
Logs Fail2Ban:
sudo tail -f /var/log/fail2ban.log
Vérifier la conf:
sudo fail2ban-client status
Liste des Ip ban:
fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status
ou
sudo fail2ban-client banned