Re: fail2ban regex

To: ML Debian User French <debian-user-french@lists.debian.org>
Subject: Re: fail2ban regex
From: Pierre Malard <plm@teledetection.fr>
Date: Thu, 30 Apr 2020 18:34:53 +0200
Message-id: <[🔎] E6A95943-ED16-4C68-9D50-09203C3B5E8C@teledetection.fr>
In-reply-to: <[🔎] d344b168-eda0-f3ee-0c6c-e2a31ba18c79@systella.fr>
References: <[🔎] 29494dc9-c07c-8ea7-783d-e3d472fac08b@systella.fr> <[🔎] d9c04ee2-9238-c9d9-835a-e655261b8c57@proofpoint.com> <[🔎] d344b168-eda0-f3ee-0c6c-e2a31ba18c79@systella.fr>

Bonjour,

Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour
les serveurs sensibles nous nous appuyons en complément de Fail2ban qui
ne banni que les IP de façon temporaires 2 ajouts :

Un outil de bannissement « définitif » pour ceux qui insistent lourdement
« multiban » répétés, basé sur l’analyse des logs de Fail2ban. Vous
pouvez le trouver sur l’URL suivante :
	https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fail2ban/

Mais cela ne suffisant pas car les réseaux servant à beaucoup d’attaques
permettent le changement d’IP, nous ajoutons des règles « ipset » nourries
par des RBL qui bloquent même certains réseaux connus pour leurs pratiques douteuses.
La solution simple est basée sur 3 ou 4 sites (https://blognote32.net/iptables-ip-blacklist/)
Vous pouvez aussi aller voir sur https://iplists.firehol.org/#aboutCollapseThree…;

Cordialement


> Le 30 avr. 2020 à 12:01, BERTRAND Joël <joel.bertrand@systella.fr> a écrit :
> 
> Nisar JAGABAR a écrit :
>> 
>> Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
>> permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
>> son man :
>> bash# fail2ban-client set <JAIL> banip <IP>
>> 
>> Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
>> bash# fail2ban-client status
>> 
>> Pour les IP déjà bannis sur un JAIL particulier :
>> bash# fail2ban-client status <JAIL>
> 
> 	Parce que le type est borné, que ça fait des jours que ça dure et que
> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
> j'ai autre chose à faire que de surveiller /var/log/syslog.
> 
> 	JKB
> 

--
Pierre Malard

  « on ne risque rien à livrer le secret professionnel car
     on ne livre pas la façon de s’en servir »
                          Jean Cocteau - « Le secret professionnel » - 1922

   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

Attachment: signature.asc
Description: Message signed with OpenPGP

Reply to:

References:
- fail2ban regex
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: fail2ban regex
  - From: Nisar JAGABAR <njagabarali@proofpoint.com>
- Re: fail2ban regex
  - From: BERTRAND Joël <joel.bertrand@systella.fr>

Prev by Date: Re: problème de console
Next by Date: rsync bloqué sur un montage cifs
Previous by thread: Re: fail2ban regex
Next by thread: podcast april
Index(es):
- Date
- Thread