Fail2ban lit les logs de divers serveurs (ssh, apache, ftp,…) à la recherche d’erreurs d’authentification répétées et ajoute une règle iptables pour bannir l’adresse IP de la source. Ce système va donc vous aider à gagner du temps si une personne malveillante tente de trouver un mot de passe de votre système.
On installe:
emerge fail2ban
Ensuite on installe whois:
emerge whois
Avec Nano, on va pouvoir éditer le fichier de configuration de fail2banFail2ban
nano /etc/fail2ban/jail.conf
Il faut remplacer à chaque fois dest=you@mail.com par l’adresse mail à laquelle on veut recevoir les alertes.
Enfin pour éviter que le fichier de log de fail2ban « gonfle trop » vous pouvez faire tourner ces logs avec logrotate fourni sur votre distribution :
nano /etc/logrotate.d/fail2ban
Ajouter:
/var/log/fail2ban.log {
weekly
rotate 7
missingok
compress
postrotate
/usr/bin/fail2ban-client reload 1>/dev/null || true
endscript
}
Pour démarrer automatiquement fail2ban avec le serveur (utile pour qu’il se lance au reboot par exempe) faites :
rc-update add fail2ban default
Quelques jours plus tard, vous aurez peut-être envie de voir le log de fail2ban pour essayer de voir si beaucoup d’IPs ont été bannies. Le log de fail2ban se trouve à cet endroit : /var/log/fail2ban.log
Si vous avez envie de le lire avec nano :
nano /var/log/fail2ban.log
