Projet

Général

Profil

Wiki » Historique » Version 4

Eric Seigne, 08/07/2021 19:23

1 1 Eric Seigne
# Wiki
2
3 3 Eric Seigne
fail2band : une api qui permet de [[remonter ses ip bannies]] et de les télécharger depuis ses autres serveurs ... voir à terme de les partager avec d'autres utilisateurs ...
4 2 Eric Seigne
5 4 Eric Seigne
Pour l'instant l'idée est la suivante:
6
* un utilisateur (administrateur) créé autant de clé d'API qu'il a de serveur sur lesquels fail2ban tournent
7
* il ne faut surtout pas utiliser la même clé d'API sur 2 serveurs, car c'est un élément qui permet de ne pas "boucler" (ie renvoyer la blacklist du serveur 1 sur serveur 1)
8
* l'administrateur se connecte sur le panneau d'admin fail2band.com pour créer ses clés d'api et :
9
* un script "push" permet d'envoyer ses données vers le serveur
10
* un script "pull" permet de télécharger la blacklist
11 1 Eric Seigne
12 4 Eric Seigne
## Configuration pour un nouveau serveur (uploader sa blacklist)
13
14 3 Eric Seigne
* 1. Créer son compte sur https://fail2band.com/
15
* 2. Créer une clé d'API pour ce serveur via la console web de https://fail2band.com (à terme le script CLI devra permettre de le faire direct sur le serveur "client")
16
* 3. Installer le script https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2band_push.sh
17
* 4. Ouvrir le script et ajouter les infos ad-hoc dans la partie configuration (api, ip)
18
* 5. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/action.d/fail2band.conf dans /etc/fail2ban/action.d/
19
* 6. Modifier ses règles fail2ban pour ajouter fail2band dans les actions, par exemple ajout de fail2band pour inli-authlog:
20
21
```
22
[inli-authlog]
23
enabled = true
24
filter = inli-authlog
25
banaction = %(banaction_allports)s
26
	    fail2band
27
protocol = all
28
logpath = /var/log/auth.log
29
maxretry = 1
30
bantime = 2678400
31
32
```
33 1 Eric Seigne
* 7. Relancer fail2ban et vérifier sur le fichier log local de fail2ban que les nouvelles IP bannies sont aussi "poussées" sur le serveur fail2band.com ...
34 4 Eric Seigne
35
36
## Configuration pour télécharger sa blacklist depuis un autre serveur
37
38
39
Rappel: le principe de base est que la blacklist est commune pour le compte utilisateur mais différentiée pour les clés d'api utilisées ...
40
41
* 1. Installer le script https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2band_pull.sh
42
* 2. Ouvrir le script et ajouter les infos ad-hoc dans la partie configuration (api, ip)
43
* 3. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/filter.d/fail2band-remote.conf dans /etc/fail2ban/filter.d/
44
* 4. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/jail.d/fail2band-remote.conf dans /etc/fail2ban/jail.d/
45
* 5. Modifier/adapter le fichier de configuration de la prison, par exemple
46
47
```
48
[fail2band-remote-ssh]
49
enabled = true
50
banaction = iptables-allports
51
filter = fail2band-remote
52
protocol = all
53
logpath = /var/log/fail2band-remote-ssh.log
54
maxretry = 1
55
findtime = 1h
56
bantime = 1d
57
58
```
59
60
Important: vous voyez le suffixe "ssh" à fail2band-remote ? il est également sur le nom du fichier log à monitorer, c'est aussi le nom du filtre qu'on va envoyer à la requête réseau via le script pull
61
62
Ce suffixe correspond aux noms des collecteurs de vos règles fail2ban lors de l'envoi. Ainsi si vous envoyez des données de postfix-sasl vous pourrez télécharger uniquement les IP bannies par ce filtre ...
63
64
* 6. Relancer fail2ban et vérifier sur le fichier log local de fail2ban que tout marche bien
65
66
```
67
fail2band_pull.sh ssh
68
```
69
70
Ensuite il faut que le fichier /var/log/fail2band-remote-ssh.log se remplisse à partir de la base centrale ... il faut lancer le script fail2band_pull.sh via un cron par exemple, dans le futur on regardera de plus près les websockets ou autres bricoles permises par http2
Go to top
Ajouter une image à partir du presse-papier (Taille maximale: 50 Mo)