écrit en python , Fail2ban est un système de prévention des intrusions ( IPS ) libre et open source qui protège le serveur contre les attaques brutales.

Après un nombre spécifié de tentatives de mot de passe incorrectes, l'adresse IP du client est interdite d'accéder au système pendant une période spécifiée ou jusqu'à ce que l'administrateur système le débroche. De cette fa?on, le système est sauvegardé à partir d'attaques de force brute répétées d'un seul h?te.

[Vous pourriez également aimer: comment sécuriser et durcir le serveur OpenSSH]

Fail2ban est hautement configurable et peut être configuré pour sécuriser une myriade de services tels que SSH , VSFTPD , Apache et Webmin .

Dans ce guide, nous nous concentrons sur la fa?on dont vous pouvez installer et configurer Fail2ban sur Rocky Linux et Almalinux .

étape 1: Assurez-vous que Firewalld est en cours d'exécution

Par défaut, Rocky est livré avec la course à feu. Cependant, si ce n'est pas le cas sur votre système, commencez le monde du feu en exécutant:

 $ sudo systemctl start Firewalld

Ensuite, activez-le pour démarrer sur l'heure de démarrage:

 $ sudo systemctl activer le pare-feu

Vérifiez ensuite le statut du pare-feu

 $ sudo systemctl status Firewalld

De plus, vous pouvez confirmer toutes les règles Firewalld actuellement en cours d'exécution à l'aide de la commande:

 $ sudo Firewall-Cmd --list-all

étape 2: Installez EPEL dans Rocky Linux

En tant que requis pour l'installation de packages Fail2Ban et d'autres requis, vous devez installer le référentiel EPEL qui fournit des packages supplémentaires de haute qualité pour les distributions basées sur RHEL.

 $ sudo dnf installer EPEL-libération

étape 3: Installer Fail2ban dans Rocky Linux

Avec EPEL installé, procédez et installez Fail2ban et le package Fail2ban-Firewalld .

 $ sudo dnf install fail2ban fail2ban-firewalld

Cela installe le serveur Fail2ban et le composant Firewalld ainsi que d'autres dépendances.

Avec l'installation de Fail2Ban Complete, démarrez le service Fail2ban.

 $ sudo systemctl start fail2ban

Et l'activer pour commencer l'heure de démarrage.

 $ sudo systemctl activer fail2ban

Vous pouvez vérifier l'état du service Fail2Ban en exécutant la commande:

 $ sudo systemctl status fail2ban

La sortie est une confirmation que Fail2ban est en cours d'exécution comme nous nous attendons.

étape 4: Configuration de Fail2ban dans Rocky Linux

En continuant, nous devons configurer Fail2Ban pour qu'il fonctionne comme prévu. Idéalement, nous modifions le fichier de configuration principal - /etc/fail2ban/jail.conf . Cependant, cela est découragé. En tant que solution de contournement, le contenu du fichier de configuration de prison.conf dans le fichier Jail.local .

 $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Maintenant, ouvrez le fichier Jail.local à l'aide de votre éditeur préféré.

 $ sudo vim /etc/fail2ban/jail.local

Dans le cadre de la section [par défaut] , assurez-vous d'avoir les paramètres suivants tels qu'ils apparaissent.

 bantime = 1h
findtime = 1h
maxretry = 5

Définissons les attributs:

• La directive Bantime spécifie la durée du temps qu'un client sera interdit à la suite de tentatives d'authentification ratées.
• La directive Findtime est la durée ou la période dans laquelle Fail2ban envisagera lors de l'examen des tentatives de mot de passe incorrectes répétées.
• Le paramètre MaxRetry est le nombre maximum de tentatives de mot de passe incorrectes avant que le client distant ne soit empêché d'accéder au serveur. Ici, le client sera verrouillé après 5 défaillances d'authentification.

Par défaut, Fail2ban fonctionne avec iptables. Cependant, cela a été obsolète en faveur du pare-feu. Nous devons configurer Fail2ban pour fonctionner aux c?tés de Firewalld au lieu d'iptables.

Alors, exécutez avec la commande:

 $ sudo mv /etc/fail2ban/jail.d/00-firewalld.conf /etc/fail2ban/jail.d/00-firewalld.local

Pour appliquer les modifications, redémarrez Fail2ban:

 $ sudo systemctl redémarrer fail2ban

étape 5: sécuriser le service SSH avec Fail2ban

Par défaut, Fail2ban ne bloque aucun h?te distant tant que vous n'aurez pas activé la configuration de la prison pour un service que vous souhaitez sécuriser. La configuration de la prison est spécifiée dans le chemin /etc/fail2ban/jail.d et remplacera la configuration spécifiée dans le fichier Jail.local.

Dans cet exemple, nous créerons un fichier de configuration de la prison pour protéger le service SSH. Par conséquent, créez le dossier de la prison SSH.

 $ sudo vim /etc/fail2ban/jail.d/sshd.local

Ensuite, collez les lignes suivantes:

 [sshd]
activé = true

# Remplacer la configuration globale par défaut
# pour une prison spécifique sshd
bantime = 1d
maxretry = 3

Dans la configuration ci-dessus, un h?te distant sera interdit d'accéder au système pendant 1 jour après 3 tentatives de connexion SSH ratées. Enregistrez les modifications et redémarrez le service Fail2Ban.

 $ sudo systemctl redémarrer fail2ban

Ensuite, vérifiez l'état de configuration de la prison à l'aide de l'utilitaire de ligne de commande Fail2ban-Client .

 $ sudo fail2ban-client statut

à partir de la sortie, nous pouvons voir que 1 prison configurée pour un service appelé ? sshd ?.

De plus, vous pouvez confirmer la valeur maxretry de la prison SSHD à l'aide de l'option Get.

 $ sudo fail2ban-client get sshd maxretry

3

La valeur imprimée 3 devrait correspondre à ce que vous avez spécifié dans le fichier sshd.local .

étape 6: Tester la configuration de Fail2ban

Après avoir configuré Fail2Ban et créé un fichier de configuration de la prison pour le service SSH, nous allons effectuer un essai exécuté et simuler 3 connexions échouées en spécifiant un mot de passe incorrect pour chaque invite de mot de passe.

Rendez-vous donc vers un système Linux distant et essayez de vous connecter en utilisant le mauvais mot de passe. Après 3 tentatives infructueuses, la connexion sera supprimée et toute tentative ultérieure de reconnexion sera bloquée jusqu'à ce que la durée d'interdiction s'allume.

Pour recueillir des informations sur les systèmes clients bloqués, vérifiez l'état de la prison.

 $ sudo fail2ban client status sshd

Pour débanter ou supprimer le client de la prison, exécutez la commande:

 $ sudo fail2ban-client Unban 192.168.2.102

Encore une fois, vérifiez l'état de la prison pour vous assurer que le client n'est pas inclus dans la liste IP interdite.

 $ sudo fail2ban client status sshd

Comme nous l'avons vu, Fail2ban est un outil très utile pour éloigner les intrus cherchant à violer votre système Linux. Il fonctionne en conjonction avec Firewalld pour interdire les systèmes clients pendant une durée spécifiée après un nombre spécifique de tentatives de connexion ratées. Ce faisant, il offre une couche supplémentaire de protection pour votre serveur Linux.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!