Limiter les attaques par dictionaires ou par force brute: fail2ban

Ces derniers temps j’ai eu quelques attaques sur le ftp du serveur depuis la chine. Pour interrompre l’attaque un petit bannissement d’IP avec iptable à résolu le problème, Cependant afin d’automatiser le bannissement d’adresse il existe un petit programme fail2ban.

sous Ubuntu un coup de:

sudo apt-get install fail2ban

pour l’installer, et pour le configurer:

sudo vi /etc/fail2ban/fail2ban.conf

mais celui-ci contient peu d’option, en faites les options intéressantes sont dans jail.conf donc:

sudo vi /etc/fail2ban/jail.conf

et là on a beaucoup de réglage disponible,par exemple dans la section default on peut mettre:

action= %(action_mlv)s

afin d’etre averti par mail et d’avoir un rapport avec whois et le log qui a servi au banissement.

Il existe une section pour un grande partie des programme sous linux susceptible d’être attaqué, ils ont tous plus ou moins un section de cette forme:

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

pour valider la surveillances des autre programmes on met juste enabled à true.