Wiki » Historique » Version 5
Eric Seigne, 08/07/2021 19:43
1 | 1 | Eric Seigne | # Wiki |
---|---|---|---|
2 | |||
3 | 3 | Eric Seigne | fail2band : une api qui permet de [[remonter ses ip bannies]] et de les télécharger depuis ses autres serveurs ... voir à terme de les partager avec d'autres utilisateurs ... |
4 | 2 | Eric Seigne | |
5 | 4 | Eric Seigne | Pour l'instant l'idée est la suivante: |
6 | * un utilisateur (administrateur) créé autant de clé d'API qu'il a de serveur sur lesquels fail2ban tournent |
||
7 | * il ne faut surtout pas utiliser la même clé d'API sur 2 serveurs, car c'est un élément qui permet de ne pas "boucler" (ie renvoyer la blacklist du serveur 1 sur serveur 1) |
||
8 | * l'administrateur se connecte sur le panneau d'admin fail2band.com pour créer ses clés d'api et : |
||
9 | * un script "push" permet d'envoyer ses données vers le serveur |
||
10 | * un script "pull" permet de télécharger la blacklist |
||
11 | 1 | Eric Seigne | |
12 | 4 | Eric Seigne | ## Configuration pour un nouveau serveur (uploader sa blacklist) |
13 | |||
14 | 3 | Eric Seigne | * 1. Créer son compte sur https://fail2band.com/ |
15 | * 2. Créer une clé d'API pour ce serveur via la console web de https://fail2band.com (à terme le script CLI devra permettre de le faire direct sur le serveur "client") |
||
16 | * 3. Installer le script https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2band_push.sh |
||
17 | * 4. Ouvrir le script et ajouter les infos ad-hoc dans la partie configuration (api, ip) |
||
18 | * 5. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/action.d/fail2band.conf dans /etc/fail2ban/action.d/ |
||
19 | * 6. Modifier ses règles fail2ban pour ajouter fail2band dans les actions, par exemple ajout de fail2band pour inli-authlog: |
||
20 | |||
21 | ``` |
||
22 | [inli-authlog] |
||
23 | enabled = true |
||
24 | filter = inli-authlog |
||
25 | banaction = %(banaction_allports)s |
||
26 | fail2band |
||
27 | protocol = all |
||
28 | logpath = /var/log/auth.log |
||
29 | maxretry = 1 |
||
30 | bantime = 2678400 |
||
31 | |||
32 | ``` |
||
33 | 1 | Eric Seigne | * 7. Relancer fail2ban et vérifier sur le fichier log local de fail2ban que les nouvelles IP bannies sont aussi "poussées" sur le serveur fail2band.com ... |
34 | 4 | Eric Seigne | |
35 | |||
36 | ## Configuration pour télécharger sa blacklist depuis un autre serveur |
||
37 | |||
38 | |||
39 | Rappel: le principe de base est que la blacklist est commune pour le compte utilisateur mais différentiée pour les clés d'api utilisées ... |
||
40 | |||
41 | * 1. Installer le script https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2band_pull.sh |
||
42 | * 2. Ouvrir le script et ajouter les infos ad-hoc dans la partie configuration (api, ip) |
||
43 | * 3. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/filter.d/fail2band-remote.conf dans /etc/fail2ban/filter.d/ |
||
44 | * 4. Installer https://projets.cap-rel.fr/projects/fail2band/repository/webservice-fail2band/revisions/master/entry/tools/fail2ban/jail.d/fail2band-remote.conf dans /etc/fail2ban/jail.d/ |
||
45 | * 5. Modifier/adapter le fichier de configuration de la prison, par exemple |
||
46 | |||
47 | ``` |
||
48 | [fail2band-remote-ssh] |
||
49 | enabled = true |
||
50 | banaction = iptables-allports |
||
51 | filter = fail2band-remote |
||
52 | protocol = all |
||
53 | logpath = /var/log/fail2band-remote-ssh.log |
||
54 | maxretry = 1 |
||
55 | findtime = 1h |
||
56 | bantime = 1d |
||
57 | |||
58 | ``` |
||
59 | |||
60 | Important: vous voyez le suffixe "ssh" à fail2band-remote ? il est également sur le nom du fichier log à monitorer, c'est aussi le nom du filtre qu'on va envoyer à la requête réseau via le script pull |
||
61 | |||
62 | Ce suffixe correspond aux noms des collecteurs de vos règles fail2ban lors de l'envoi. Ainsi si vous envoyez des données de postfix-sasl vous pourrez télécharger uniquement les IP bannies par ce filtre ... |
||
63 | |||
64 | * 6. Relancer fail2ban et vérifier sur le fichier log local de fail2ban que tout marche bien |
||
65 | |||
66 | 5 | Eric Seigne | Ensuite il faut que le fichier /var/log/fail2band-remote-ssh.log se remplisse à partir de la base centrale ... il faut lancer le script fail2band_pull.sh via un cron par exemple, dans le futur on regardera de plus près les websockets ou autres bricoles permises par http2 |
67 | |||
68 | |||
69 | 1 | Eric Seigne | ``` |
70 | 5 | Eric Seigne | /usr/local/bin/fail2band_pull.sh ssh |
71 | 4 | Eric Seigne | ``` |