[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: A propos de fail2ban



Merci bien Thibaut.

Effectivement, la chaine fail2ban-ssh a changé depuis et la cible DROP correspond en effet aux sources bannies.
Je ne sais pas si je suis ou non très sollicité, mais j'avoue que depuis que j'ai installé fail2ban il y a quelques mois déjà j'ai pris conscience que les attaques ne sont quand même pas le fait de quelques individus isolés.
J'ai l'impression qu'il y a pas mal de types qui passent leur journées à essayer de pénétrer des systèmes.

Cordialement,

Le 23 février 2011 23:07, Thibaut Chèze <user-french.debian.mailinglists.thibaut@kribleur.fr> a écrit :
Bonsoir,

J'ai deux questions à propos de fail2ban qui tourne actuellement sur ma machine.

1°/ J'ai configuré fail2ban pour qu'il m'envoie un mail pour chaque adresse bannie.
Je reçois entre 5 et 10 mails par jour que je classe dans un répertoire de ma boîte mail.
Comme ça fait plusieurs mois que ça dure, j'ai plusieurs centaines d'@ IP bannies.

Y a t-il une possibilité de visualiser automatiquement la liste des @IP bannies ? (sur une page web par exemple, ou sous un autre format).
Pas de frontal à ma connaissance, mais coder une page web à partir de la commande que vous indiquez ci-après n'est pas très difficile (si c'est vraiment ce que vous souhaitez avoir...). Il doit surement y avoir différentes petites astuces sur le net.

Par contre, fail2ban banni effectivement des IP, mais pour une durée définie dans la conf (10min par défaut si je me souviens bien, 1h, 1j, ... cf "bantime"), parceque sinon... le parcours des tables pour chaque paquet IP provoquerait une baisse de performance de votre réseaux au fur et a mesure que le temps passe (sans compter les risques de DoS, la réduction de la ram disponible, ...).


2°/ Voici ce que me renvoie la commande:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh
fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain fail2ban-postfix (1 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere           

Chain fail2ban-ssh (1 references)
target     prot opt source               destination        
DROP       all  --  99.198.122.105       anywhere           
DROP       all  --  204.110.14.17        anywhere           
DROP       all  --  247.112.140.187.ds.sparkstation.net  anywhere           
DROP       all  --  58-242-115-208.static.reverse.lstn.net  anywhere           
DROP       all  --  ip-72-167-47-28.ip.secureserver.net  anywhere           
DROP       all  --  essen242.server4you.de  anywhere           
DROP       all  --  66.11.123.195        anywhere           
DROP       all  --  truster-0.webhosting4.net  anywhere           
RETURN     all  --  anywhere             anywhere

J'avoue ne pas savoir quoi penser dernières lignes DROP ?
D'après les infos que j'ai trouvées sur le NET cela ne semble pas très normal.

La chaine fail2ban-ssh contient les IP bannies par fail2ban pour le service ssh (par analyse des log). Les autres chaines commencant par "fail2ban-" aussi, pour d'autres service, dans votre cas, votre serveur mail Postfix. Les entrées que vous voyez, sont celles qui on été bannies suite à des tentatives d'accès infructueuses à ssh, et seront supprimées une fois la durée du bannissement de chacune d'entre elles atteinte ou un redémarrage de fail2ban. D'ailleurs, cette liste à surement changée depuis le temps... Mais tout est parfaitement normal, vous n'êtes pas très sollicité...

Pour en apprendre plus, aller lire la documentation est la meilleure solution : http://doc.ubuntu-fr.org/fail2ban et http://www.fail2ban.org/wiki/index.php/FAQ_french pour des documentation en français, et surtout l'originale dans la langue de Shakespeare : http://www.fail2ban.org/wiki/index.php/Main_Page

Un dernier point, si les mails vous sont inutiles, ou peu utiles, vous devriez envisagez de les désactiver, vous économiseriez ainsi des ressources sur les différentes machines qui manipules vos mails, de l'espace disque, de l'énergie, et surement d'autres choses encore...

Thibaut


Reply to: