Le Blog de C-quad

Sécuriser un ordinateur avec fail2ban

Dans le cas ou la machine est accessible à partir d’Internet, il est impératif de la sécuriser un minimum.

Je vous conseille donc de bien configurer votre firewall. Néanmoins, il n’est pas toujours possible de tout fermer. Exemple, il serait dommage de fermer l’accès ssh si vous voulez accéder à votre ordinateur depuis l’extérieur. Mais si vous y avez accès, tous le monde peut tenter de s’y connecter.

Afin de limiter les chances que ces accès soient fructueux, je vous conseille donc l’utilisation de fail2ban. Logiciel qui intervient sur la configuration du firewall de tel sorte qu’il effectue un ban des ip des ordinateurs insistants.

Configuration sshd

Quoiqu’il en soit si l’accès ssh est ouvert, je vous déconseille de laisser l’accès possible à root. Pour couper l’accès direct au compte root, modifier dans le fichier /etc/ssh/sshd_config :

PermitRootLogin no

Installation de fail2ban

Fail2ban est un script tournant en tâche de fond et qui va vérifier si des tentatives d’authentification via SSH (ou apache) échouent ; et en cas d’attaque, bannir l’IP grâce à iptables.

yum install fail2ban

Configuration de fail2ban

Une fois le service installé, il faut le configurer par le biais du fichier /etc/fail2ban/jail.conf ; le fichier étant bien documenté, nous allons juste nous attarder sur les paramètres les plus importants :

maxfailures = 3

C’est le paramètre qui détermine le nombre de tentatives autorisées.

bantime = 3600

C’est la durée du bannissement en secondes, par défaut définie à 1 heure (3600 secondes).

ignoreip = 192.168.0.0/16

Ce paramètre est important puisqu’il détermine les IP qui ont le droit de se tromper de mot de passe. Vous pouvez mettre votre réseau local ainsi que d’autres IP.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@mail.com]
logpath  = /var/log/secure
maxretry = 3

Cette partie concerne la surveillance des accès ssh.

[mail]
enabled = false

Si votre machine est configurée pour envoyer des mails, vous pouvez programmer l’envoi d’un mail pour vous avertir du blocage d’une IP. Sinon, vous pouvez aussi passer par le log :

root@localhost ~> cat /var/log/fail2ban.log

Penser à aller dans les services pour bien vérifier que fail2ban est démarré et activé.

Une réponse à to “Sécuriser un ordinateur avec fail2ban”

Laisser un commentaire