Tous les serveurs exposés à Internet sont exposés au risque d'attaques de logiciels malveillants. Par exemple, si vous avez un logiciel connecté à un réseau public, les attaquants peuvent utiliser des tentatives de force brute pour accéder à l'application.
Fail2ban est un outil open source qui aide à protéger votre machine Linux contre la force brute et d'autres attaques automatisées en surveillant les journaux des services pour détecter toute activité malveillante. Il utilise des expressions régulières pour analyser les fichiers journaux. Toutes les entrées correspondant aux modèles sont comptées, et lorsque leur nombre atteint un certain seuil prédéfini, Fail2ban bannit l'IP incriminée pendant une durée spécifique. Le pare-feu système par défaut est utilisé comme action d'interdiction. Lorsque la période d'interdiction expire, l'adresse IP est supprimée de la liste d'interdiction.
Cet article explique comment installer et configurer Fail2ban sur CentOS 8.
Installation de Fail2ban sur CentOS #
Le package Fail2ban est inclus dans les référentiels CentOS 8 par défaut. Pour l'installer, entrez la commande suivante en tant que root ou utilisateur avec les privilèges sudo :
sudo dnf install fail2banUne fois l'installation terminée, activez et démarrez le service Fail2ban :
sudo systemctl enable --now fail2banPour vérifier si le serveur Fail2ban est en cours d'exécution, tapez :
sudo systemctl status fail2ban● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2020-09-10 12:53:45 UTC; 8s ago
...
C'est ça. À ce stade, vous avez Fail2Ban en cours d'exécution sur votre serveur CentOS.
Configuration Fail2ban #
L'installation par défaut de Fail2ban est livrée avec deux fichiers de configuration, /etc/fail2ban/jail.conf et /etc/fail2ban/jail.d/00-firewalld.conf . Ces fichiers ne doivent pas être modifiés car ils peuvent être écrasés lors de la mise à jour du package.
Fail2ban lit les fichiers de configuration dans l'ordre suivant :
/etc/fail2ban/jail.conf/etc/fail2ban/jail.d/*.conf/etc/fail2ban/jail.local/etc/fail2ban/jail.d/*.local
Chaque .local le fichier remplace les paramètres de .conf fichier.
La façon la plus simple de configurer Fail2ban est de copier le jail.conf vers jail.local et modifier le .local dossier. Les utilisateurs plus avancés peuvent créer un .local fichier de configuration à partir de zéro. Le .local le fichier n'a pas besoin d'inclure tous les paramètres du .conf correspondant fichier, uniquement ceux que vous souhaitez remplacer.
Créer un .local fichier de configuration depuis le fichier par défaut jail.conf fichier :
sudo cp /etc/fail2ban/jail.{conf,local}
Pour commencer à configurer le serveur Fail2ban, ouvrez le jail.local fichier avec votre éditeur de texte :
sudo nano /etc/fail2ban/jail.localLe fichier comprend des commentaires décrivant ce que fait chaque option de configuration. Dans cet exemple, nous allons modifier les paramètres de base.
Adresses IP sur liste blanche #
Les adresses IP, les plages d'adresses IP ou les hôtes que vous souhaitez exclure du bannissement peuvent être ajoutés au ignoreip directif. Ici, vous devez ajouter l'adresse IP de votre PC local et toutes les autres machines que vous souhaitez ajouter à la liste blanche.
Décommentez la ligne commençant par ignoreip et ajoutez vos adresses IP séparées par un espace :
ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24
Paramètres d'interdiction #
Les valeurs de bantime , findtime , et maxretry les options définissent l'heure et les conditions d'interdiction.
bantime est la durée pendant laquelle l'adresse IP est interdite. Lorsqu'aucun suffixe n'est spécifié, la valeur par défaut est secondes. Par défaut, le bantime la valeur est fixée à 10 minutes. Généralement, la plupart des utilisateurs voudront définir une durée d'interdiction plus longue. Modifiez la valeur à votre convenance :
bantime = 1d
Pour bannir définitivement l'IP, utilisez un nombre négatif.
findtime est la durée entre le nombre d'échecs avant qu'une interdiction ne soit définie. Par exemple, si Fail2ban est paramétré pour bannir une IP après cinq échecs (maxretry , voir ci-dessous), ces échecs doivent se produire dans le findtime durée.
findtime = 10m
maxretry est le nombre d'échecs avant qu'une IP ne soit bannie. La valeur par défaut est définie sur cinq, ce qui devrait convenir à la plupart des utilisateurs.
maxretry = 5
Numéro de notification par e-mail
Fail2ban peut envoyer des alertes par e-mail lorsqu'une adresse IP a été bannie. Pour recevoir des e-mails, vous devez avoir installé un SMTP sur votre serveur et modifier l'action par défaut, qui n'interdit l'IP qu'à %(action_mw)s , comme indiqué ci-dessous :
action = %(action_mw)s
%(action_mw)s interdira l'adresse IP incriminée et enverra un e-mail avec un rapport whois. Si vous souhaitez inclure les journaux pertinents dans l'e-mail, définissez l'action sur %(action_mwl)s .
Vous pouvez également ajuster les adresses e-mail d'envoi et de réception :
/etc/fail2ban/jail.localdestemail = [email protected]
sender = [email protected]
Jails Fail2ban #
Fail2ban utilise un concept de prisons. Une prison décrit un service et inclut des filtres et des actions. Les entrées de journal correspondant au modèle de recherche sont comptées et lorsqu'une condition prédéfinie est remplie, les actions correspondantes sont exécutées.
Fail2ban est livré avec un certain nombre de prisons pour différents services. Vous pouvez également créer vos propres configurations de jail.
Par défaut, sur CentOS 8, aucune prison n'est activée. Pour activer une prison, vous devez ajouter enabled = true après le titre de prison. L'exemple suivant montre comment activer le sshd prison :
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)sLes paramètres dont nous avons discuté dans la section précédente peuvent être définis par prison. Voici un exemple :
/etc/fail2ban/jail.local
Les filtres sont situés dans le /etc/fail2ban/filter.d répertoire, stocké dans un fichier portant le même nom que la prison. Si vous avez une configuration personnalisée et une expérience avec les expressions régulières, vous pouvez affiner les filtres.
Chaque fois que le fichier de configuration est modifié, le service Fail2ban doit être redémarré pour que les modifications prennent effet :
sudo systemctl restart fail2banNuméro de client Fail2ban
Fail2ban est livré avec un outil en ligne de commande nommé fail2ban-client que vous pouvez utiliser pour interagir avec le service Fail2ban.
Pour afficher toutes les options disponibles du fail2ban-client commande, invoquez-la avec le -h choix :
fail2ban-client -hCet outil peut être utilisé pour interdire/annuler l'interdiction des adresses IP, modifier les paramètres, redémarrer le service, etc. Voici quelques exemples :
-
Vérifiez l'état d'une prison :
sudo fail2ban-client status sshd -
Débannir une IP :
sudo fail2ban-client set sshd unbanip 23.34.45.56 -
Bannir une IP :
sudo fail2ban-client set sshd banip 23.34.45.56