Fail2ban - illustration
Serveur

Fail2ban trier et lister les IP bannies

Lister et Trier les IP Bannies avec Fail2ban

 

Fail2ban_logo

Fail2ban

C’est un outil essentiel pour protéger vos services contre les attaques par force brute en bannissant temporairement les adresses IP suspectes. Voici comment lister et trier ces IP bannies :

Prérequis

  • Fail2ban installé : Assurez-vous que Fail2ban est installé et configuré sur votre système.
  • Accès root ou sudo : Les commandes nécessitent des privilèges élevés.

Lister les IP Bannies

Pour lister les adresses IP bannies, utilisez la commande suivante :

sudo fail2ban-client status

Cette commande affiche un résumé du statut de Fail2ban et des prisons (jails) configurées.

Pour obtenir les détails d’une prison spécifique (par exemple, sshd) :

sudo fail2ban-client status sshd

Vous verrez une sortie similaire à ceci :

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 5
|  `- File list: /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned: 3
   `- Banned IP list: 192.168.1.100 192.168.1.101

Trier les IP Bannies

Pour trier les IP par nombre de fois qu’elles ont été bannies, utilisez les commandes suivantes dans un script bash :

  1. Extraire et trier les IP à partir des logs :
sudo zgrep 'Ban' /var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq -c | sort -nr

Cette commande :

  • zgrep ‘Ban’ : Recherche les occurrences de « Ban » dans les fichiers de log compressés.
  • awk ‘{print $NF}’ : Extrait la dernière colonne, qui est l’IP.
  • sort | uniq -c : Trie et compte les occurrences uniques.
  • sort -nr : Trie les résultats par ordre décroissant.
  1. Affichage sous un format lisible :
    Pour améliorer la lisibilité, vous pouvez ajouter des en-têtes aux colonnes :
echo -e "Count\tIP"
sudo zgrep 'Ban' /var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq -c | sort -nr

Vérification du Service

Pour vérifier que l’application fonctionne correctement :

sudo systemctl status fail2ban

Cette commande vous donnera un aperçu de l’état du service Fail2ban et s’il est actif ou non.

Conclusion

Avec ces commandes, vous pouvez non seulement surveiller les adresses IP bannies par Fail2ban, mais aussi analyser les patterns d’attaque sur votre système. Pour une gestion proactive de la sécurité, assurez-vous de vérifier régulièrement les logs et ajuster vos configurations en conséquence.