Archives par mot-clé : Fail2ban

Fail2Ban est un logiciel de sécurité informatique conçu pour protéger les serveurs contre les attaques par force brute et les tentatives d’intrusion. Il est utilisé principalement sur les serveurs Linux pour renforcer la sécurité en détectant les activités suspectes et en bloquant automatiquement les adresses IP des attaquants.

Le fonctionnement de Fail2Ban repose sur l’analyse des fichiers journaux du système, tels que les journaux d’authentification, les journaux d’accès SSH, les journaux des serveurs web, etc. Il recherche des schémas d’activité malveillante, tels que des tentatives de connexion infructueuses ou des comportements anormaux, et réagit en conséquence.

Lorsqu’une activité suspecte est détectée, Fail2Ban applique des règles de pare-feu pour bloquer l’adresse IP de l’attaquant pendant une période définie. Cette mesure de blocage temporaire vise à décourager les attaquants et à les empêcher de continuer leurs tentatives d’intrusion.

Fail2Ban offre également des fonctionnalités avancées, telles que la possibilité de configurer des règles personnalisées, de notifier les administrateurs par e-mail lors d’incidents de sécurité, et de générer des rapports détaillés sur les activités suspectes.

Ce logiciel est largement utilisé dans les environnements serveur pour renforcer la sécurité des services exposés sur Internet, tels que les serveurs SSH, les serveurs web, les serveurs de messagerie, etc. Il constitue une couche de défense supplémentaire pour détecter et contrer les attaques automatisées visant à compromettre la sécurité des systèmes.

En résumé, Fail2Ban est un logiciel de sécurité qui analyse les journaux système pour détecter les comportements malveillants et appliquer des mesures de blocage temporaire pour renforcer la sécurité des serveurs contre les attaques par force brute et les tentatives d’intrusion.

 

Serveur

Fail2ban trier et lister les IP bannies

Lister et Trier les IP Bannies avec Fail2ban

 

Fail2ban_logo

Fail2ban

C’est un outil essentiel pour protéger vos services contre les attaques par force brute en bannissant temporairement les adresses IP suspectes. Voici comment lister et trier ces IP bannies :

Prérequis

  • Fail2ban installé : Assurez-vous que Fail2ban est installé et configuré sur votre système.
  • Accès root ou sudo : Les commandes nécessitent des privilèges élevés.

Lister les IP Bannies

Pour lister les adresses IP bannies, utilisez la commande suivante :

sudo fail2ban-client status

Cette commande affiche un résumé du statut de Fail2ban et des prisons (jails) configurées.

Pour obtenir les détails d’une prison spécifique (par exemple, sshd) :

sudo fail2ban-client status sshd

Vous verrez une sortie similaire à ceci :

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 5
|  `- File list: /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned: 3
   `- Banned IP list: 192.168.1.100 192.168.1.101

Trier les IP Bannies

Pour trier les IP par nombre de fois qu’elles ont été bannies, utilisez les commandes suivantes dans un script bash :

  1. Extraire et trier les IP à partir des logs :
sudo zgrep 'Ban' /var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq -c | sort -nr

Cette commande :

  • zgrep ‘Ban’ : Recherche les occurrences de « Ban » dans les fichiers de log compressés.
  • awk ‘{print $NF}’ : Extrait la dernière colonne, qui est l’IP.
  • sort | uniq -c : Trie et compte les occurrences uniques.
  • sort -nr : Trie les résultats par ordre décroissant.
  1. Affichage sous un format lisible :
    Pour améliorer la lisibilité, vous pouvez ajouter des en-têtes aux colonnes :
echo -e "Count\tIP"
sudo zgrep 'Ban' /var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq -c | sort -nr

Vérification du Service

Pour vérifier que l’application fonctionne correctement :

sudo systemctl status fail2ban

Cette commande vous donnera un aperçu de l’état du service Fail2ban et s’il est actif ou non.

Conclusion

Avec ces commandes, vous pouvez non seulement surveiller les adresses IP bannies par Fail2ban, mais aussi analyser les patterns d’attaque sur votre système. Pour une gestion proactive de la sécurité, assurez-vous de vérifier régulièrement les logs et ajuster vos configurations en conséquence.

Administration, Informatique, Sécurité

Découverte de Fail2Ban

Découverte de Fail2Ban : Votre Garde du Corps Numérique

Fail2ban_logo

 

Découverte de Fail2Ban

Table des matières

Introduction

Dans le monde numérique d’aujourd’hui, la sécurité des serveurs est une préoccupation majeure pour les administrateurs de systèmes et les propriétaires de sites web. Avec l’augmentation constante des cyberattaques, il est crucial de disposer d’outils robustes pour protéger nos précieuses données. C’est ici que Fail2Ban, un outil de sécurité puissant et flexible, entre en jeu. Dans cet article, nous allons explorer ce qu’est Fail2Ban, comment il fonctionne, et pourquoi il devrait être une partie essentielle de votre arsenal de sécurité.

Qu’est-ce que Fail2Ban?

Fail2Ban est un logiciel open-source écrit en Python, conçu pour aider à sécuriser les serveurs contre les attaques de brute-force et autres menaces courantes. Il surveille les fichiers journaux de votre serveur et détecte les comportements malveillants, tels que les tentatives de connexion répétées et échouées. Une fois une activité suspecte détectée, Fail2Ban bloque l’adresse IP de l’attaquant, empêchant ainsi toute tentative d’intrusion.

Histoire de Fail2Ban

Développé initialement par Cyril Jaquier, Fail2Ban a fait ses débuts dans les années 2000. L’objectif était de créer un outil simple mais efficace pour surveiller les fichiers journaux et réagir automatiquement aux comportements malveillants. Depuis lors, il a évolué pour devenir un outil de sécurité incontournable dans la communauté Linux, grâce à sa flexibilité et sa facilité d’utilisation.

Fonctionnement de Fail2Ban

Fail2Ban fonctionne en analysant les fichiers journaux de services tels que SSH, FTP, SMTP et autres. Lorsqu’il détecte plusieurs échecs de connexion provenant de la même adresse IP sur une courte période, il exécute des actions prédéfinies, généralement en ajoutant des règles au pare-feu pour bloquer cette IP pendant une certaine période.

Pourquoi utiliser Fail2Ban?

1. **Protection contre les attaques de brute-force:** Fail2Ban réduit considérablement le risque d’intrusions réussies en bloquant les adresses IP qui tentent de deviner vos mots de passe.

2. **Personnalisable:** Vous pouvez configurer Fail2Ban pour qu’il réponde à des schémas spécifiques dans les fichiers journaux et ajuster les règles de blocage selon vos besoins.

3. **Réduction de la charge serveur:** En bloquant les adresses IP malveillantes, Fail2Ban allège la charge sur votre serveur, le rendant plus rapide et plus réactif.

4. **Facilité d’utilisation:** Bien qu’il soit puissant, Fail2Ban est également convivial, même pour les administrateurs de systèmes moins expérimentés.

Conclusion sur la découverte de Fail2Ban

Fail2Ban est un outil essentiel pour tout administrateur de serveur soucieux de la sécurité. Sa capacité à s’adapter à divers scénarios d’attaque et sa facilité d’intégration dans les systèmes existants en font une solution de sécurité inestimable. En ces temps où les cyberattaques sont monnaie courante, avoir Fail2Ban comme garde du corps numérique est plus qu’une mesure préventive, c’est une nécessité.

Appel à l’action

Pour en savoir plus sur Fail2Ban et comment l’intégrer dans votre environnement de serveur, visitez [Site Web Officiel de Fail2Ban](https://www.fail2ban.org/). Protégez votre serveur dès aujourd’hui !

Administration, Debian GNU/Linux

Fail2ban – lister et trier les IP bannies

Un commentaire

Lister et trier les ips bannies par Fail2ban

Il est utile de connaitre les IPs actuellement bannies par l’excellent Fail2ban.Nous allons lister et trier les ips bannies par Fail2ban avec awk.Fail2ban_logo

 

Pour rappelle cette application permet de définir le nombre de tentative maximum de connexion pour un service donné. Il peux être très intéressant pour des services tel que ssh et son daemon sshd, mais pas que. Je vous laisse vous documenter sur Fail2ban

les ips bannies par Fail2ban

Personnellement j’utilise :

awk '($(NF-1) = /Ban/){print $NF}' /var/log/fail2ban.log | sort | uniq -c | sort -n

cette commande vous renvoi les IP bannies avec leur nombre de tentative. Information importante pour bannir les IP définitivement de l’accès à votre serveur/machine.

Vérifier le fonctionnement de Fail2ban :

fail2ban-client status sshd

retourne le statut de la prison « sshd » (avec le nombre de tentatives échouées et la liste des IP bannies)

sinon le classique

systemctl status fail2ban

doit retourner un Active: active (running) since et une date depuis laquelle Fail2ban est actif.