Flaz's Hotline

Outils pour utilisateurs

Outils du site

Piste :
bloquer_les_attaques_en_force_brute_avec_fail2ban

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
bloquer_les_attaques_en_force_brute_avec_fail2ban [2026/05/10 13:06] – [apache-ratelimit] Flazbloquer_les_attaques_en_force_brute_avec_fail2ban [2026/05/10 14:16] (Version actuelle) – [Ne pas bannir] Flaz
Ligne 24: Ligne 24:
 Avant d'utiliser un filtre dans une prison, il faut impérativement tester ce filtre pour s'assurer qu'il détecte correctement les événements souhaités et eux seuls ! Avant d'utiliser un filtre dans une prison, il faut impérativement tester ce filtre pour s'assurer qu'il détecte correctement les événements souhaités et eux seuls !
  
-Pour ce faire, on utilise la commande //fail2ban-regex// dont la forme générale est la suivante :+Pour ce faire, on utilise la commande [[https://manpages.debian.org/trixie/fail2ban/fail2ban-regex.1.en.html|fail2ban-regex]] dont la forme générale est la suivante :
  
 <code>fail2ban-regex [OPTIONS] LOG REGEX [IGNOREREGEX]</code> <code>fail2ban-regex [OPTIONS] LOG REGEX [IGNOREREGEX]</code>
Ligne 81: Ligne 81:
 ==== apache-badbots ==== ==== apache-badbots ====
 Le filtre fourni avec Fail2ban contient une liste prédéfinie de robots malveillants. Pour compléter cette liste sans qu'elle soit écrasée par les mises à jour du filtre d'origine, j'ai créé un filtre dérivé qui me permet de gérer ma propre liste qui vient compléter la liste prédéfinie : Le filtre fourni avec Fail2ban contient une liste prédéfinie de robots malveillants. Pour compléter cette liste sans qu'elle soit écrasée par les mises à jour du filtre d'origine, j'ai créé un filtre dérivé qui me permet de gérer ma propre liste qui vient compléter la liste prédéfinie :
-<file apache-badbots-custom.local>+ 
 +<code - apache-badbots-custom.local>
 [INCLUDES] [INCLUDES]
 before = apache-badbots.conf before = apache-badbots.conf
Ligne 87: Ligne 88:
 mybotcustom = Bytespider|MJ12bot|SeekportBot|serpstatbot|Barkrowler|YandexBot|AhrefsBot|DotBot|MojeekBot|ZoominfoBot|PetalBot|serpstatbot|BitSightBot|wpbot|WellKnownBot|BLEXBot|AwarioBot|ImagesiftBot|Dataprovider|Amazonbot|GPTBot|OAI-SearchBot|ChatGPT-User|ClaudeBot|SemrushBot|externalhit_uatext|SERankingBacklinksBot mybotcustom = Bytespider|MJ12bot|SeekportBot|serpstatbot|Barkrowler|YandexBot|AhrefsBot|DotBot|MojeekBot|ZoominfoBot|PetalBot|serpstatbot|BitSightBot|wpbot|WellKnownBot|BLEXBot|AwarioBot|ImagesiftBot|Dataprovider|Amazonbot|GPTBot|OAI-SearchBot|ChatGPT-User|ClaudeBot|SemrushBot|externalhit_uatext|SERankingBacklinksBot
 failregex = ^<HOST> -.*(GET|POST|HEAD).*HTTP.*(?:%(badbots)s|%(badbotscustom)s|%(mybotcustom)s) failregex = ^<HOST> -.*(GET|POST|HEAD).*HTTP.*(?:%(badbots)s|%(badbotscustom)s|%(mybotcustom)s)
-</file>+</code>
  
  
Ligne 96: Ligne 97:
  
 Source : [[https://odd.blog/2026/03/26/stopping-web-server-abuse-with-fail2ban/Stopping Web Server Abuse with Fail2Ban]] (en) Source : [[https://odd.blog/2026/03/26/stopping-web-server-abuse-with-fail2ban/Stopping Web Server Abuse with Fail2Ban]] (en)
 +
 +===== Idées d'actions =====
 +==== Ne pas bannir ====
 +Une des actions envisageable est de signaler un bannissement potentiel sans effectuer le bannissement. C'est tout à fait possible mais le fichier jail.conf ne définit pas le raccourci d'action correspondant.
 +
 +Un tel raccourci se déduit facilement d'un raccourci existant. Par exemple :
 +<code>
 +# ban & send an e-mail with whois report to the destemail.
 +action_mw = %(action_)s
 +            %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
 +</code>
 +devient, par simple suppression de l'action de bannissement,
 +<code>
 +# send an e-mail with whois report to the destemail.
 +action_noban_mw = %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
 +</code>
 +que l'on pourra ajouter dans la section //[DEFAULT]// de //jail.local//.
bloquer_les_attaques_en_force_brute_avec_fail2ban.1778418392.txt.gz · Dernière modification : de Flaz