Flaz's Hotline

Outils pour utilisateurs

Outils du site

Piste :
bloquer_les_attaques_en_force_brute_avec_fail2ban

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
bloquer_les_attaques_en_force_brute_avec_fail2ban [2026/05/10 13:09] – [apache-badbots] Flazbloquer_les_attaques_en_force_brute_avec_fail2ban [2026/05/10 14:16] (Version actuelle) – [Ne pas bannir] Flaz
Ligne 24: Ligne 24:
 Avant d'utiliser un filtre dans une prison, il faut impérativement tester ce filtre pour s'assurer qu'il détecte correctement les événements souhaités et eux seuls ! Avant d'utiliser un filtre dans une prison, il faut impérativement tester ce filtre pour s'assurer qu'il détecte correctement les événements souhaités et eux seuls !
  
-Pour ce faire, on utilise la commande //fail2ban-regex// dont la forme générale est la suivante :+Pour ce faire, on utilise la commande [[https://manpages.debian.org/trixie/fail2ban/fail2ban-regex.1.en.html|fail2ban-regex]] dont la forme générale est la suivante :
  
 <code>fail2ban-regex [OPTIONS] LOG REGEX [IGNOREREGEX]</code> <code>fail2ban-regex [OPTIONS] LOG REGEX [IGNOREREGEX]</code>
Ligne 82: Ligne 82:
 Le filtre fourni avec Fail2ban contient une liste prédéfinie de robots malveillants. Pour compléter cette liste sans qu'elle soit écrasée par les mises à jour du filtre d'origine, j'ai créé un filtre dérivé qui me permet de gérer ma propre liste qui vient compléter la liste prédéfinie : Le filtre fourni avec Fail2ban contient une liste prédéfinie de robots malveillants. Pour compléter cette liste sans qu'elle soit écrasée par les mises à jour du filtre d'origine, j'ai créé un filtre dérivé qui me permet de gérer ma propre liste qui vient compléter la liste prédéfinie :
  
-<code apache-badbots-custom.local>+<code apache-badbots-custom.local>
 [INCLUDES] [INCLUDES]
 before = apache-badbots.conf before = apache-badbots.conf
Ligne 97: Ligne 97:
  
 Source : [[https://odd.blog/2026/03/26/stopping-web-server-abuse-with-fail2ban/Stopping Web Server Abuse with Fail2Ban]] (en) Source : [[https://odd.blog/2026/03/26/stopping-web-server-abuse-with-fail2ban/Stopping Web Server Abuse with Fail2Ban]] (en)
 +
 +===== Idées d'actions =====
 +==== Ne pas bannir ====
 +Une des actions envisageable est de signaler un bannissement potentiel sans effectuer le bannissement. C'est tout à fait possible mais le fichier jail.conf ne définit pas le raccourci d'action correspondant.
 +
 +Un tel raccourci se déduit facilement d'un raccourci existant. Par exemple :
 +<code>
 +# ban & send an e-mail with whois report to the destemail.
 +action_mw = %(action_)s
 +            %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
 +</code>
 +devient, par simple suppression de l'action de bannissement,
 +<code>
 +# send an e-mail with whois report to the destemail.
 +action_noban_mw = %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
 +</code>
 +que l'on pourra ajouter dans la section //[DEFAULT]// de //jail.local//.
bloquer_les_attaques_en_force_brute_avec_fail2ban.1778418574.txt.gz · Dernière modification : de Flaz