Fail2ban lit les fichiers de log du système et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification pendant une durée paramétrable.

aptitude install fail2ban

Le répertoire contenant les fichiers de configuration est /etc/fail2ban/:

Le fichier fail2ban.conf permet de spécifier le niveau des logs (loglevel), le fichier où ils sont enregistrer (logtarget) et le socket.

Les services à monitorer sont stockés dans /etc/fail2ban/jail.conf. Il est recommandé d'en effectuer une copie nommée jail.local qui sera automatiquement utilisée à la place du fichier exemple.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Quelques paramètres globaux :

• ignoreip = 127.0.0.1 ⇒ Liste des adresses IP de confiance à ignorer par fail2ban
• bantime = 600 ⇒ Temps de ban en secondes
• maxretry = 3 ⇒ Nombre d'essais autorisés pour une connexion avant d'être banni
• destmail monitoring@test.com ⇒ Adresse e-mail destinataire des notifications
• action ⇒ Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)

Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s'ils sont mentionnés :

• enabled ⇒ Monitoring activé (true) ou non (false)
• maxretry, bantime, ignoreip, destmail =⇒ Voir ci-dessus
• port ⇒ Port IP concerné
• logpath ⇒ Fichier de log à analyser pour détecter des anomalies
• filter ⇒ Filtre utilisé pour l'analyser du log

Modifiez ce fichier à votre convenance, puis rechargez la configuration de failéban

/etc/init.d/fail2ban reload