Aller au contenu principal

FAIL2BAN

Fail2Ban est un moyen de défense contre les attaques par déni de service (Denial of Service ou "DoS").

Dans le cas qui nous occupe, il s'agit de protéger le site Web du club Linux Gatineau qui s'est mis à cesser de répondre à intervalles irréguliers pendant quelques mois. Je recevais constamment des courriels de Jean-François qui me disait être incapable d'accéder au site, et des textos de ma conjointe qui me disait qu'elle n'arrivait pas à faire afficher la page de connexion du webmail de Securinux. Les deux sites sont hébergés sur le même serveur. Pourtant, quand je vérifiais l'état du serveur, ça me disait qu'il était démarré (Started). J'avais beau chercher dans les journaux d'erreurs d'Apache, je ne trouvais rien. Je redémarrais le service et tout se remettait à fonctionner... jusqu'à ce que le serveur retombe.

C'est à force de faire des recherches sur Internet que j'ai fini par trouver le bobo. Dans un quelconque forum, quelqu'un parlait de nombreuses requêtes faites à son serveur, ce qui m'a fait penser de regarder non pas les journaux d'erreurs du serveur, mais bien les journaux d'accès. Et c'est là que j'ai constaté (avec horreur) que le serveur était victime d'attaques provenant de plusieurs adresses à la fois. Les lignes défilaient à l'écran à une vitesse phénoménale (plus d'une dizaine à la seconde).

Selon Wikipedia :

"Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :

  •     
  • l’inondation d’un réseau afin d'empêcher son fonctionnement ;
  •     
  • la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
  •     
  • l'obstruction d'accès à un service à une personne en particulier ;
  •     
  • également le fait d'envoyer des milliards d'octets à une box internet.

L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise."