Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 140-pare-feu-fail2ban:10-install-fail2ban [le 30/06/2025 à 15:34] – [jail.d] prof
+++ 140-pare-feu-fail2ban:10-install-fail2ban [le 06/07/2025 à 15:50] (Version actuelle) – prof
@@ Ligne 134: / Ligne 134: @@
     * **action = %(action_)s**\\ L'action qui sera menée par défaut étant définie ici comme étant la plus simple: «action_»
 Pour approfondir la question, il est utile de lire les commentaires inscrits dans ''jail.conf'' et non retranscrits ici.
+<note important>En ce qui concerne l'action «//action_cf_mwl//» celle-ci n'affichera les lignes de logs que si le «backend» est un fichier de logs «à l'ancienne». Dans le cas  de journaux gérés par systemd il faudra, si l'on souhaite les ligne de logs, créer une action supplémentaire... </note>
 La seconde partie définit justement des «prisons» que l'on veut activer pour différents services. Aucune n'est active par défaut puisque le paramètre «enabled» est justement positionné par défaut sur «faux».
@@ Ligne 180: / Ligne 182: @@
 Les divers fichiers contenus dans ce répertoire seront lus par ordre alphabétique et leur contenu écrasera éventuellement ce qui a pu être défini précédemment.
-Debian installe un unique fichier dans ce répertoire ''defaults-debian.conf'' qui contient:
-<html><pre class="code">
-[DEFAULT]
-banaction = nftables
-banaction_allports = nftables[type=allports]
-[sshd]
-backend = systemd
-journalmatch = _SYSTEMD_UNIT=ssh.service + _COMM=sshd
-enabled = true
-</pre></html>
-Debian protège donc ssh par défaut. Nous allons modifier un peu, mais avant, voyons le principe:
-  - la source des informations (backend), c'est le journal géré par systemd
-  - ce qu'il faut observer dans le journal (journalmatch) c'est :\  ''SYSTEMD_UNIT=ssh.service + _COMM=sshd''
-  - le filtre est actif (enabled = true)
-Toutes les autres directives sont données dans les divers paragraphes [DEFAULT] déjà rencontrés lors de la lecture séquentielle de la configuration. Directement ici:
-  - le bannissement sera effectué avec nftables
-Dans ''jail.conf'':
-  - le port = ssh (22 par défaut)
-  - il y a aussi une définition du «backend» = sshd_backend, dont nous savons sa valeur est initialisée dans le fichier ''paths-debian.conf'':  sshd_backend = systemd. Il y a donc une redite pas forcément nécessaire.
-  - bantime  = 10m
-  - findtime  = 10m
-  - maxretry = 5
-  - maxmatches = %(maxretry)s
-  - action = %(action_)s
-Toutes ces valeurs sont plutôt laxistes compte tenu de la quantité de tentatives d'intrusions que l'on peut observer sur ssh.
-Nous allons casser le fichier ''defaults-debian.conf'', renommé en ''000-defaults.conf'' et qui contiendra:
-<html><pre class="code">
-[DEFAULT]
-banaction = nftables
-banaction_allports = nftables[type=allports]
-maxretry = 3
-findtime = 10minutes
-bantime = 15minutes
-ignoreip = 192.168.60.47, 2a01:e0a:875:b1d0:ac2a:a7ff:fedd:e607
-</pre></html>
-Pour les tests, nous restons gentils. Nous accordons par défaut 3 essais infructueux en l'espace de 10 minutes, avec un bannissement de seulement 1/4 d'heure. Notons que ceci peut être suffisant dans la mesure où bien souvent, un attaquant bloqué n'insiste pas, du moins pendant un assez long temps. En revanche, il peut espacer ses tentatives de bien plus de 10 minutes et passerait alors à travers.
-Protection des adresses IPv4 et IPv6 de la station de l'administrateur. On ne sait jamais...
-Nous créons un fichier ''010-sshd.conf'' qui va se focaliser sur la protection de ssh:
-<html><pre class="code">
-[sshd]
-backend = systemd
-enabled = true
-journalmatch = _SYSTEMD_UNIT=ssh.service + _COMM=sshd
-maxretry = 2
-findtime = 1minute
-bantime = 5minutes
-</pre></html>
-C'est juste une reprise de ce qu'il y avait dans le fichier fourni par défaut, si ce n'est que pour les tests, le nombre d'essais est limité à 2 et que les durées de recherche et de bannissement sont très réduites.