Archives par mot-clé : Fail2ban

Fail2Ban est un logiciel de sécurité informatique conçu pour protéger les serveurs contre les attaques par force brute et les tentatives d’intrusion. Il est utilisé principalement sur les serveurs Linux pour renforcer la sécurité en détectant les activités suspectes et en bloquant automatiquement les adresses IP des attaquants.

Le fonctionnement de Fail2Ban repose sur l’analyse des fichiers journaux du système, tels que les journaux d’authentification, les journaux d’accès SSH, les journaux des serveurs web, etc. Il recherche des schémas d’activité malveillante, tels que des tentatives de connexion infructueuses ou des comportements anormaux, et réagit en conséquence.

Lorsqu’une activité suspecte est détectée, Fail2Ban applique des règles de pare-feu pour bloquer l’adresse IP de l’attaquant pendant une période définie. Cette mesure de blocage temporaire vise à décourager les attaquants et à les empêcher de continuer leurs tentatives d’intrusion.

Fail2Ban offre également des fonctionnalités avancées, telles que la possibilité de configurer des règles personnalisées, de notifier les administrateurs par e-mail lors d’incidents de sécurité, et de générer des rapports détaillés sur les activités suspectes.

Ce logiciel est largement utilisé dans les environnements serveur pour renforcer la sécurité des services exposés sur Internet, tels que les serveurs SSH, les serveurs web, les serveurs de messagerie, etc. Il constitue une couche de défense supplémentaire pour détecter et contrer les attaques automatisées visant à compromettre la sécurité des systèmes.

En résumé, Fail2Ban est un logiciel de sécurité qui analyse les journaux système pour détecter les comportements malveillants et appliquer des mesures de blocage temporaire pour renforcer la sécurité des serveurs contre les attaques par force brute et les tentatives d’intrusion.

 

Fail2ban – lister et trier les IP bannies

Lister et trier les ips bannies par Fail2ban

Il est utile de connaitre les IPs actuellement bannies par l’excellent Fail2ban.Nous allons lister et trier les ips bannies par Fail2ban avec awk.Fail2ban_logo

 

Pour rappelle cette application permet de définir le nombre de tentative maximum de connexion pour un service donné. Il peux être très intéressant pour des services tel que ssh et son daemon sshd, mais pas que. Je vous laisse vous documenter sur Fail2ban

Personnellement j’utilise :

awk '($(NF-1) = /Ban/){print $NF}' /var/log/fail2ban.log | sort | uniq -c | sort -n

cette commande vous renvoi les IP bannies avec leur nombre de tentative. Information importante pour bannir les IP définitivement de l’accès à votre serveur/machine.

Vérifier le fonctionnement de Fail2ban :

fail2ban-client status sshd

retourne le statut de la prison « sshd » (avec le nombre de tentatives échouées et la liste des IP bannies)

sinon le classique

systemctl status fail2ban

doit retourner un Active: active (running) since et une date depuis laquelle Fail2ban est actif.