« Fail2Ban » : différence entre les versions
| (2 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 134 : | Ligne 134 : | ||
<li><p>'''Éditer <code>/etc/fail2ban/jail.local</code>''' :</p> | <li><p>'''Éditer <code>/etc/fail2ban/jail.local</code>''' :</p> | ||
<syntaxhighlight lang="ini">[DEFAULT] | <syntaxhighlight lang="ini">[DEFAULT] | ||
banaction = iptables-ipset | #Ces actions sont plus générales et peuvent s'appliquer à la fois à IPv4 et IPv6, selon la configuration. | ||
banaction_allports = iptables-ipset | banaction = iptables-ipset[type=multiport] | ||
banaction_allports = iptables-ipset[type=allports] | |||
</syntaxhighlight> | |||
</li> | |||
<li><p>'''Ajouter vos IP de confiance''' :</p> | <li><p>'''Ajouter vos IP de confiance''' :</p> | ||
<syntaxhighlight lang="ini">ignoreip = 127.0.0.1/8 ::1 65.65.65.65 2a50::1 </syntaxhighlight></li> | <syntaxhighlight lang="ini">ignoreip = 127.0.0.1/8 ::1 65.65.65.65 2a50::1 </syntaxhighlight></li> | ||
| Ligne 224 : | Ligne 227 : | ||
banaction = iptables-ipset[type=multiport] | banaction = iptables-ipset[type=multiport] | ||
banaction_allports = iptables-ipset[type=allports] | banaction_allports = iptables-ipset[type=allports] | ||
... | |||
[apache-noscript] | [apache-noscript] | ||
backend = auto | backend = auto | ||
| Ligne 236 : | Ligne 238 : | ||
action = %(action_mwl)s | action = %(action_mwl)s | ||
</pre> | </pre> | ||
=== Forcer la création d'un ensemble IPv6 === | === Forcer la création d'un ensemble IPv6 === | ||
| Ligne 251 : | Ligne 252 : | ||
=== Pour confirmer que Fail2Ban bloque effectivement le trafic IPv6 : === | === Pour confirmer que Fail2Ban bloque effectivement le trafic IPv6 : === | ||
<pre> | <pre> | ||
sudo iptables -L -n | grep f2b-apache-noscript | sudo iptables -L -n | grep f2b-apache-noscript | ||
| Ligne 259 : | Ligne 259 : | ||
REJECT 6 -- ::/0 ::/0 multiport dports 80,443 match-set f2b-apache-noscript6 src reject-with icmp6-port-unreachable | REJECT 6 -- ::/0 ::/0 multiport dports 80,443 match-set f2b-apache-noscript6 src reject-with icmp6-port-unreachable | ||
</pre> | </pre> | ||
# '''Fail2Ban est correctement intégré''' à <code>iptables</code>/<code>ip6tables</code>.<br /> | # '''Fail2Ban est correctement intégré''' à <code>iptables</code>/<code>ip6tables</code>.<br /> | ||
| Ligne 270 : | Ligne 269 : | ||
#* Le rejet est '''visible''' (contrairement à <code>DROP</code>), ce qui peut décourager les scanners. | #* Le rejet est '''visible''' (contrairement à <code>DROP</code>), ce qui peut décourager les scanners. | ||
==== '''Pourquoi ces règles sont-elles critiques ?''' ==== | ==== '''Pourquoi ces règles sont-elles critiques ?''' ==== | ||
| Ligne 282 : | Ligne 280 : | ||
* '''Compatibilité IPv6''' : | * '''Compatibilité IPv6''' : | ||
** Votre configuration est résiliente contre les attaques via IPv6. | ** Votre configuration est résiliente contre les attaques via IPv6. | ||
=== débloquer une IPv4 : === | === débloquer une IPv4 : === | ||
| Ligne 288 : | Ligne 285 : | ||
=== débloquer une IPv6 : === | === débloquer une IPv6 : === | ||
<syntaxhighlight lang="bash" copy>sudo ipset del f2b-apache-noscript6 2001:db8::1234</syntaxhighlight> | <syntaxhighlight lang="bash" copy>sudo ipset del f2b-apache-noscript6 2001:db8::1234</syntaxhighlight> | ||
=== '''Commandes complémentaires utiles :''' === | === '''Commandes complémentaires utiles :''' === | ||
| Ligne 298 : | Ligne 294 : | ||
|- | |- | ||
| Voir toutes les règles Fail2Ban | | Voir toutes les règles Fail2Ban | ||
| <html><code>sudo iptables -L -n | | <html><code>sudo iptables -L -n | grep f2b</code></html> | ||
|- | |- | ||
| Lister les IP bannies (IPv4) | | Lister les IP bannies (IPv4) | ||
| Ligne 306 : | Ligne 302 : | ||
| <code>sudo ipset del f2b-apache-noscript 192.0.2.1</code> | | <code>sudo ipset del f2b-apache-noscript 192.0.2.1</code> | ||
|} | |} | ||
[[Catégorie:Linux]] [[Catégorie:Debian]] [[Catégorie:Systemd]] | [[Catégorie:Linux]] [[Catégorie:Debian]] [[Catégorie:Systemd]] | ||