Fail2ban

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Présentation

fail2ban est un démon qui lit les logs de divers serveurs (http, Ssh...) à la recherche d'erreurs d'authentification répétées et ajoute une règle via iptables pour bannir l'adresse IP responsable de ces erreurs.

Fonctionnement

Le comportement de fail2ban-client est défini dans le fichier /etc/fail2ban/jail.conf ou plutôt /etc/fail2ban/jail.local.
La syntaxe du fichier est assez simple, les services à protéger sont identifiés par des crochets :

[ssh]

enable  = true
port    = ssh,sftp,2222
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 5 

Le service fail2ban accepte les commandes habituelles :

# fail2ban-client -x start
# fail2ban-client reload
# fail2ban-client stop ssh
# fail2ban-client status ssh

fail2ban a son propre journal, le fichier /var/log/fail2ban.log

Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils