reaction, remplaçant de fail2ban

Posté par  . Édité par Arkem et Benoît Sibaud. Modéré par Arkem. Licence CC By‑SA.
Étiquettes :
99
2
déc.
2023
Administration système

L'honorable fail2ban semble utilisé sur de très nombreuses petites infrastructures. NdM: Fail2ban est un framework de prévention contre les intrusions, écrit en Python (Wikipédia), ou dit autrement à bloquer et bannir des pénibles. Il est diffusé sous GPLv2+.

Il était installé sur mes serveurs, avant que j'essaie de le remplacer.

Mais dis-moi, pourquoi remplacer fail2ban ?

  • Parce que fail2ban est lent
  • Parce que sa configuration est très désagréable et mal documentée.

Mais dis-moi, il doit bien exister une alternative ?

Avant de me lancer yeux fermés dans l'implémentation d'une alternative, j'ai fait le tour du propriétaire libre :

  • sshguard est uniquement adapté à SSH.
  • crowdsec semble chouette, mais adapté à des grosses infras et à des workflows compliqués. De plus, je n'ai pas réussi à l'installer.
  • salt est plus un WAF (Web Application Firewall). Pareil, semble chouette mais adapté à des grosses infrastructures.
  • minos, développé par Exarius (un des CHATONS), efficace mais ne supporte que les logs stockés dans des fichiers texte et le pare-feu nftables.
  • pyruse, que je découvre aujourd'hui sur LinuxFr.org avec l'étiquette fail2ban. Uniquement adapté à systemd/journald.

Cri de joie, de toutes les alternatives que j'ai trouvé, fail2ban semble être encore le mieux adapté !

Journal Attaques par force brute sur un serveur de mail

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
42
25
juin
2023

Bonjour à tous.

J'ai finalement obtenu quelque chose d'acceptable contre les attaques par force brute sur mon serveur de mail. Je ne pense pas avoir grand chose à cacher (c.f. nothing to hide) et mes emails personnels sont apparemment très intéressants pour quelqu'un :-D. Je suis actuellement en train de tester cette solution.

Je la partage ici, pour aider ceux qui aiment les sets nftables.

Le contexte.

En résumé, depuis peu, je vois un réseau /24 entier, dans un pays (…)

Forum Linux.débutant Sécuriser un serveur basé sur des conteneurs sous LXC avec fail2ban : Meilleures pratiques?

Posté par  . Licence CC By‑SA.
Étiquettes :
5
5
jan.
2022

Bonjour,

Le contexte:

Je suis en train de mettre en place un nouveau serveur en remplacement de mon vaillant Rapsberry 1 (version B quand même ;) ).
Le but est d’auto-héberger tout un tas de services / fonctionnalités et de se passer au maximum des géants du net.

Sur mon RPI tout était directement mis en place sur la raspbian.
Sur ce nouveau serveur je mets en place un serveur debian avec LXC et des conteneurs ("unprivileged") qui compartimenteront les (…)

Forum Linux.debian/ubuntu Message Fail2ban

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
4
18
oct.
2021

Salut,
Je m'occupe d'un serveur (qui est dans les locaux de l'association qui l'utilise car la connexion est assez aléatoire dans leur pampa). Il est derrière une box orange.

Je recois des messages de connexions du type

[Fail2Ban] sshd: banned 101.132.188.120 from Polo

Parfois plus d'une cinquantaine par heure.

A priori, l'accès ssh se fait par clef privée/publique seulement (il faut que je vérifie, ça fait longtemps que j'ai configuré ce serveur … mais je n'y ai pas accès pour (…)

Journal fail2ban : mutualiser ma blacklist entre mes serveurs

Posté par  . Licence CC By‑SA.
Étiquettes :
29
14
juil.
2021

J'ai quelques serveurs "identiques" au niveau de leur configuration, hébergement, usages et fonctionnalités (par exemple une grappe glusterfs, des serveurs proxmox, des serveurs mails etc.).

Et comme beaucoup de monde je déploie fail2ban systématiquement et ça fait des années que je me dis qu'il faudrait passer sur un truc plus "vision globale" du genre crowdsec mais voilà, la flemme, le manque de temps, le fait que fail2ban est déjà installé (recettes ansible aussi) … ça fait que je n'ai pas (…)

Forum Linux.général fail2ban

Posté par  . Licence CC By‑SA.
Étiquettes :
0
29
mai
2018

Bonjour,

J'ai installer fail2ban sur mon serveur, mais après une configuration sans sucés, je l'ai désinstaller et supprimer les fichier de fail2ban.
je vient de le réinstaller, mais je n'arrive pas a le démarrer ni a voir son statu. J'ai chercher les dossiers fail2ban mais je n'en retrouve aucun. J'ai recommencer l'opération a mainte reprise, sans succés.

je suis sous centOS 7

voici ce qu'il affiche:

[root@ns372331 ~]# systemctl start fail2ban
Failed to start fail2ban.service: Unit not found.
[root@ns372331 ~]# (…)

Pyruse 1.0 : pour remplacer Fail2ban et autres « scruteurs » de journaux sur un GNU/Linux moderne

Posté par  (site web personnel) . Édité par Davy Defaud, ZeroHeure et palm123. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
92
12
fév.
2018
Supervision

Après plus de dix ans de présence discrète sur LinuxFr.org, tout juste marquée de quelques commentaires, je me décide enfin à proposer une dépêche.
Je souhaite vous présenter la version 1.0 de Pyruse, que j’ai développé sous licence GPL v3 pour mon propre usage en auto‐hébergement, car je sais que se promènent ici d’autres auto‐hébergeurs qui pourront être intéressés.

Journal De l'exploitation des logs de fail2ban…

Posté par  . Licence CC By‑SA.
Étiquettes :
32
4
sept.
2017

Comme beaucoup d'entre vous, pour sécuriser l'accès SSH de mon serveur j'utilise fail2ban (en plus des règles habituelles de sécurité). Fail2ban permet d'envoyer un mail à chaque fois qu'il bannit une IP mais finalement personne ne prend le temps d'examiner ces mails car le format n'est pas exploitable.

J'ai donc décidé d'exploiter les logs de fail2ban afin de générer un rapport quotidien.

Pour cela, j'ai utilisé python et les excellentes bibliothèques pandas et matplotlib.

Principe de fonctionnement

1) fail2ban-getlog

Une (…)