====== Fail2ban ======
===== Description =====
Fail2ban lit les fichiers de log du système et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification pendant une durée paramétrable.
===== Installation =====
<code>aptitude install fail2ban</code>
===== Configuration =====
Le répertoire contenant les fichiers de configuration est **/etc/fail2ban/**:

Le fichier **fail2ban.conf** permet de spécifier le niveau des logs (loglevel), le fichier où ils sont enregistrer (logtarget) et le socket.

Les services à monitorer sont stockés dans **/etc/fail2ban/jail.conf**. Il est recommandé d'en effectuer une copie nommée **jail.local** qui sera automatiquement utilisée à la place du fichier exemple.
<code>cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local</code>
Quelques paramètres globaux :
  * ignoreip = 127.0.0.1 => Liste des adresses IP de confiance à ignorer par fail2ban
  * bantime = 600 => Temps de ban en secondes
  * maxretry = 3 => Nombre d'essais autorisés pour une connexion avant d'être banni
  * destmail monitoring@test.com => Adresse e-mail destinataire des notifications
  * action => Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s'ils sont mentionnés :

  * enabled => Monitoring activé (true) ou non (false)
  * maxretry, bantime, ignoreip, destmail ==> Voir ci-dessus
  * port => Port IP concerné
  * logpath => Fichier de log à analyser pour détecter des anomalies
  * filter => Filtre utilisé pour l'analyser du log 

Modifiez ce fichier à votre convenance, puis rechargez la configuration de failéban
<code>/etc/init.d/fail2ban reload</code>