Analyse les journaux des différents services en se basant sur des expression rationnelles (regex) et isole automatiquement les IP générant un nombre trop élevé d'erreurs permettant de stopper les attaques en force brute.
Installation via le gestionnaire de paquets:
$ sudo apt-get install fail2ban
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Dans la section globale, on peut spécifier des IPs à ignorer (à ne jamais bannir).
[DEFAULT] ignorself = true ignoreip = 127.0.0.1/8 ::1
Définir les variables suivantes dans le fichier /etc/fail2ban/jail.local
destemail = user@domain sendername = Fail2ban sender = sender@domain mta = mail action = %(action_mwl)s
Pour activer la surveillance du service ssh, vérifier la valeur de la directive enable dans la section [sshd]
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6
Recharger le fichier de configuration
$ sudo fail2ban-client reload
Pour afficher l'état de l'ensemble des cellules (prisons ou jails):
$ sudo fail2ban-client status
Pour le détail de la cellule sshd:
$ sudo fail2ban-client status sshd
Si des hôtes sont bannis, on peut vérifier les règles créées par fail2ban:
iptables -L -n
Chain INPUT (policy DROP) target prot opt source destination f2b-sshd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 . . . Chain f2b-sshd (1 references) target prot opt source destination REJECT all -- 79.137.37.26 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 103.150.125.189 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 120.88.46.226 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 14.49.204.81 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 24.2.154.81 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 193.106.191.50 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 179.60.147.99 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 165.22.216.121 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 152.89.196.123 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0
On peut être surpris de constater que les règles générées par fail2ban utilisent la cible REJECT plutôt que DROP. Ce choix a été justifié par les développeurs dans la conversation https://github.com/fail2ban/fail2ban/issues/507 essentiellement parce que l'usage de DROP peut impacter fortement la réactivité des applications exécutées par les utilisateurs légitimes. A contrario l'usage de DROP n'a pas vraiment d'impact sur les attaquants/scripts/bots qui connaissent déjà l’existence du service (qu'il tentent d'attaquer en force brute). A ce sujet voir également http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
On peut toutefois changer se comportement par défaut si on le souhaite en éditant le fichier /etc/fail2ban/action.d/iptables-common.conf et en modifiant la valeur de la variable blocktype:
# Option: blocktype (ipv6)
# Note: This is what the action does with rules. This can be any jump target
# as per the iptables man page (section 8). Common values are DROP
# REJECT, REJECT --reject-with icmp6-port-unreachable
# Values: STRING
#blocktype = REJECT --reject-with icmp6-port-unreachable
blocktype = DROP
Une fois la configuration chargée, on peut accéder/modifier certaines valeurs à l'aide du client fail2ban:
# Déterminer combien de temps est bannie une ip pour ssh $ fail2ban-client get sshd bantime # Déterminer le nombre d'essais autorisé pour ssh $ fail2ban-client get sshd maxretry
Pou modifier la configuration utiliser l'argument set
$ fail2ban-client set sshd maxretry 3
Pour bannir/autoriser manuellement les IPs:
# Interdire l'acces au service ssh a une IP $ fail2ban-client set sshd banip 192.168.0.34 # Autoriser à nouveau une IP $ fail2ban-client set sshd unbanip 192.168.0.34
Sur serveurs en DMZ.