Aller au contenu principal

Configuration

Fail2Ban fait partie du dépôt de la grande majorité des distributions. Il s'installe donc avec tous les apt-get, yum, pacman et emerge de ce monde.

Configuration

  • Fail2Ban fonctionne à l'aide de "prisons"  (jails). 
  • Chaque service (web, courriel, etc.)  a sa propre prison.
  • Toute la configuration se trouve sous /etc/fail2ban/
  • En général, l'installation comprend par défaut un fichier jail.conf pour lequel seule la "prison ssh" est activée (désactivée dans le cas qui nous occupe, parce qu'il n'y a pas d'attaque contre ce service)
  • Certains recommandent d'en faire une copie (jail.local, que fail2ban pourrra lire), d'autres conseillent de créer ses propres fichiers dans le répertoire jail.d, ce que j'ai fait en partie.

Jail.conf

Contient les paramètres par défaut et les prisons que l'on veut activer :

  • ignoreip -> la boucle locale (127.0.0.1) et les autres adresses du réseau local ou des sous-réseaux
  • bantime -> la période de temps, en secondes, durant laquelle l'adresse IP offensante sera bannie. Dans ce cas-ci, il est à 86 400 secondes, soit 24h. Ce paramètre peut être modifié dans les prisons individuelles, qui ont préséance.
  • findtime -> la période de temps, en secondes, durant laquelle le nombre de "maxretry" établi aura été atteint.
  • maxretry -> le nombre de fois que l'adresse IP offensante aura tenté une action sur le serveur

Je n'ai rien changé au reste, si ce n'est l'activation de la prison Postfix pour le courriel