SynerGeek.fr Informatique & Veille Technologique
Grâce à Fail2ban, vous pouvez bloquer automatiquement toutes les attaques de type brute force.
Fail2ban recherche dans vos fichiers de log les tentatives répété de connexions échoués.
Puis met à jours dans iptables les IP à bannir.
Pour l’installer : apt-get install fail2ban
Attention par défaut les logs des serveurs FTP (vsftpd, proftpd…) ne sont pas contrôlés.
Exemple pour activer le contrôles du fichier de log de vsftpd:
Editer le fichier : /etc/fail2ban.jail.conf pour mettre par exemple:
[vsftpd]
enabled = true
Par défaut après 3 tentatives de connexions échouées l’IP est bloquée 10min.
Exemple de mise à jour de iptables
Chain fail2ban-vsftpd (1 references)
target prot opt source destination
DROP all — 86.65.217.116 0.0.0.0/0
RETURN all — 0.0.0.0/0 0.0.0.0/0
Ici l’IP 86.65.217.116 sera bloquée 10min
je l’utilise aussi sur ma dedibox pro (debian)
et je suis assez content du résultat
même si les brute force ne sont pas très inquiétant, ca m’a permis d’épurer mon rapport auth
Il est génial cet outil !
http://www.geeek.org/post/2008/03/24/Fail2ban-:-Un-outil-indispensable-pour-securiser-votre-Linux-Box