Re: Fail2ban
Le 1 déc. 2015 à 18:57, andre_debian@numericable.fr a écrit :
>> et en modifiant ou en ajoutant un filtre fail2ban spécifique
>> (les tentatives d'authentification sont alors toutes loggées,
>> mais le format est différent de ce que fail2ban recherche :
>
>> J'espère que je n'ai pas été trop confus dans mes explications et je
>> suis désolé de ne pas pouvoir fournir une solution clé en main…
>> A+ Jean-Jacques
>
> Merci, pas confus mais pas d'infos sur :
> "comment ajouter un filtre fail2ban spécifique" :-)
Ce n'est pas super compliqué, en fait. Il n'existe pas de tuto parce que
chaque nouveau filtre est spécifique à des besoins personnels.
Personnellement, j'ai procédé comme suit.
D'abord, je me suis fait envoyer les bans par mail (une option à ajouter
qui est décrite dans le haut du fichier jail.{conf | local})
J'ai été regarder mes logs litigieux et j'ai créé une regex dessus.
Puis, j'ai mv un filtre lambda.conf en avotboncoeur.conf
J'ai remplacé sa regex par la mienne et je l'ai testée :
/usr/bin/fail2ban-regex /var/log/nginx/monfichier.access.log /etc/fail2ban/filter.d/nginx-login.conf
J'y ai été contraint, parce que je n'ai pas trouvé de filtre sympa sur nginx
et j'ai pas mal d'exploits sur Wordpress.
>
> La crainte est qu'un jour une intrusion découvre
> le mot de passe d'un compte mail.
C'est clair que ça vaut le coup de se creuser la cervelle pour trouver une
+/- bonne solution avec un maximum d'efficacité.
>
> Bonne soirée.
>
> André
>
Reply to: