in

Comment sécuriser votre serveur Linux avec fail2ban

Fatmawati Achmad Zaenuri / Shutterstock

Avec fail2ban, votre ordinateur Linux bloque automatiquement les adresses IP qui ont trop d’échecs de connexion. C’est une sécurité autorégulée! Nous allons vous montrer comment l’utiliser.

Sécurité Sécurité Sécurité

Duchesse de Windsor, Wallis Simpson, a dit une fois: « Vous ne pouvez jamais être trop riche ou trop maigre. » Nous avons mis à jour cela pour notre monde moderne et interconnecté: vous ne pouvez jamais être trop prudent ou trop sûr.

Si votre ordinateur accepte les demandes de connexion entrantes, telles que Enveloppe de protection (SSH), ou agit en tant que serveur Web ou de messagerie, vous devez le protéger contre les attaques par force brute et les devineurs de mots de passe.

Pour ce faire, vous devrez surveiller les demandes de connexion qui ne parviennent pas à accéder à un compte. S’ils ne parviennent pas à s’authentifier à plusieurs reprises dans un court laps de temps, il devrait leur être interdit de faire d’autres tentatives.

Le seul moyen d’y parvenir en pratique est d’automatiser l’ensemble du processus. Avec un peu de configuration simple, fail2ban gérera le surveillance, interdiction et annulation de la numérisation pour toi.

fail2ban s’intègre avec le pare-feu Linux iptables. Il applique les interdictions sur les adresses IP suspectes en ajoutant des règles au pare-feu. Pour garder cette explication épurée, nous utilisons iptables avec un jeu de règles vide.

Bien sûr, si vous êtes préoccupé par la sécurité, vous avez probablement un pare-feu configuré avec un ensemble de règles bien rempli. fail2ban seul ajoute et supprime ses propres règles—Vos fonctions habituelles de pare-feu resteront intactes.

Nous pouvons voir notre ensemble de règles vide en utilisant cette commande:

sudo iptables -L

Installation de fail2ban

Installation fail2ban est simple sur toutes les distributions que nous avons utilisées pour rechercher cet article. Sur Ubuntu 20.04, la commande est la suivante:

sudo apt-get install fail2ban

Sur Fedora 32, tapez:

sudo dnf install fail2ban

Sur Manjaro 20.0.1, nous avons utilisé pacman:

sudo pacman -Sy fail2ban

Configuration de fail2ban

le fail2ban l’installation contient un fichier de configuration par défaut appelé jail.conf. Ce fichier est écrasé lorsque fail2ban est mis à jour, nous perdrons donc nos modifications si nous apportons des personnalisations à ce fichier.

Au lieu de cela, nous allons copier le fichier jail.conf dans un fichier appelé jail.local. En plaçant nos modifications de configuration dans jail.local, elles persisteront à travers les mises à niveau. Les deux fichiers sont automatiquement lus par fail2ban.

Voici comment copier le fichier:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Ouvrez maintenant le fichier dans votre éditeur préféré. Nous allons utiliser gedit:

sudo gedit /etc/fail2ban/jail.local

Nous rechercherons deux sections dans le fichier: [DEFAULT] et [sshd]. Prenez soin de trouver les sections réelles, cependant. Ces étiquettes apparaissent également en haut dans une section qui les décrit, mais ce n’est pas ce que nous voulons.

/etc/fail2ban/jail.local ouvert dans une fenêtre gedit.

Vous trouverez le [DEFAULT] section quelque part autour de la ligne 40. C’est une longue section avec beaucoup de commentaires et d’explications.

/etc/fail2ban/jail.local s'est ouvert dans une fenêtre gedit et a défilé jusqu'à la ligne 89.

Faites défiler jusqu’à environ la ligne 90 et vous trouverez les quatre paramètres suivants que vous devez connaître:

  • ignoreip: Une liste blanche d’adresses IP qui ne seront jamais interdites. Ils ont une carte permanente Get Out of Jail Free. le adresse IP localhost (127.0.0.1) est dans la liste par défaut, avec son équivalent IPv6 (::1). S’il y a d’autres adresses IP dont vous savez qu’elles ne devraient jamais être interdites, ajoutez-les à cette liste et laissez un espace entre chacune d’elles.
  • bantime: La durée pendant laquelle une adresse IP est interdite (le «m» représente les minutes). Si vous saisissez une valeur sans «m» ou «h» (pendant des heures), elle sera traitée comme des secondes. Une valeur de -1 interdira définitivement une adresse IP. Faites très attention à ne pas vous verrouiller définitivement.
  • trouver le temps: Durée pendant laquelle un trop grand nombre de tentatives de connexion échouées entraînera l’interdiction d’une adresse IP.
  • maxretry: La valeur de «trop de tentatives infructueuses».

Si une connexion à partir de la même adresse IP maxretry échec des tentatives de connexion dans le findtime période, ils sont interdits pour la durée de la bantime. Les seules exceptions sont les adresses IP dans le ignoreip liste.

fail2ban met les adresses IP en prison pour une période de temps définie. fail2ban prend en charge de nombreuses prisons différentes, et chacune représente les paramètres qui s’appliquent à un seul type de connexion. Cela vous permet d’avoir différents paramètres pour différents types de connexion. Ou tu peux avoir fail2ban surveiller uniquement un ensemble choisi de types de connexion.

Vous l’avez peut-être deviné à partir du [DEFAULT] nom de la section, mais les paramètres que nous avons examinés sont les valeurs par défaut. Maintenant, regardons les paramètres de la prison SSH.

Configurer une prison

Les prisons vous permettent de déplacer les types de connexion à l’intérieur et à l’extérieur fail2ban's surveillance. Si les paramètres par défaut ne correspondent pas à ceux que vous souhaitez appliquer à la prison, vous pouvez définir des valeurs spécifiques pour bantime, findtime, et maxretry.

Faites défiler jusqu’à environ la ligne 280 et vous verrez le [sshd] section.

/etc/fail2ban/jail.local s'est ouvert dans une fenêtre gedit et a défilé jusqu'à la ligne 280.

C’est ici que vous pouvez définir les valeurs de la prison de connexion SSH. Pour inclure cette prison dans la surveillance et l’interdiction, nous devons taper la ligne suivante:

enabled = true

Nous tapons également cette ligne:

maxretry = 3

Le paramètre par défaut était de cinq, mais nous voulons être plus prudents avec les connexions SSH. Nous l’avons réduit à trois, puis enregistré et fermé le fichier.

Nous avons ajouté cette prison à fail2ban's surveillance et écrasez l’un des paramètres par défaut. Une prison peut utiliser une combinaison de paramètres par défaut et spécifiques à la prison.

Activation de fail2ban

Jusqu’à présent, nous avons installé fail2ban et l’a configuré. Maintenant, nous devons lui permettre de fonctionner en tant que service de démarrage automatique. Ensuite, nous devons le tester pour nous assurer qu’il fonctionne comme prévu.

Autoriser fail2ban en tant que service, nous utilisons le systemctl commander:

sudo systemctl enable fail2ban

Nous l’utilisons également pour démarrer le service:

sudo systemctl start fail2ban

Nous pouvons vérifier l’état du service en utilisant systemctl, trop:

sudo systemctl status fail2ban.service

Tout semble bon – nous avons le feu vert, donc tout va bien.

Voyons si fail2ban accepte:

sudo fail2ban-client status

Cela reflète ce que nous avons mis en place. Nous avons activé une seule prison, nommée [sshd]. Si nous incluons le nom de la prison avec notre commande précédente, nous pouvons l’examiner plus en détail:

sudo fail2ban-client status sshd

Cela répertorie le nombre de pannes et les adresses IP interdites. Bien sûr, toutes les statistiques sont nulles pour le moment.

Tester notre prison

Sur un autre ordinateur, nous ferons une demande de connexion SSH à notre machine de test et saisirons volontairement le mot de passe. Vous obtenez trois tentatives pour obtenir le mot de passe à chaque tentative de connexion.

le maxretry La valeur se déclenchera après trois tentatives de connexion infructueuses, et non trois tentatives de mot de passe infructueuses. Donc, nous devons taper un mot de passe incorrect trois fois pour échouer la première tentative de connexion.

Nous ferons ensuite une autre tentative de connexion et taperons le mot de passe incorrectement encore trois fois. La première tentative de mot de passe incorrect de la troisième demande de connexion doit se déclencher fail2ban.

Après le premier mot de passe incorrect lors de la troisième demande de connexion, nous n’obtenons pas de réponse de la machine distante. Nous n’obtenons aucune explication; nous avons juste l’épaule froide.

Vous devez appuyer sur Ctrl + C pour revenir à l’invite de commande. Si nous essayons une fois de plus, nous obtiendrons une réponse différente:

ssh dave@ubuntu20-04.local

Auparavant, le message d’erreur était « Autorisation refusée ». Cette fois, la connexion est carrément refusée. Nous sommes persona non grata. Nous avons été bannis.

Regardons les détails de la [sshd] prison à nouveau:

sudo fail2ban-client status sshd

Il y a eu trois échecs et une adresse IP (192.168.4.25) a été interdite.

Comme nous l’avons mentionné précédemment, fail2ban applique les interdictions en ajoutant des règles à l’ensemble de règles du pare-feu. Jetons un autre regard sur le jeu de règles (il était vide auparavant):

sudo iptables -L

Une règle a été ajoutée à la stratégie INPUT, envoyant le trafic SSH au f2b-sshd chaîne. La règle dans le f2b-sshd La chaîne rejette les connexions SSH de 192.168.4.25. Nous n’avons pas modifié le paramètre par défaut pour bantime, donc, dans 10 minutes, cette adresse IP sera supprimée et pourra faire de nouvelles demandes de connexion.

Si vous définissez une durée d’interdiction plus longue (par exemple plusieurs heures), mais que vous souhaitez autoriser une adresse IP à faire une autre demande de connexion plus tôt, vous pouvez la libérer plus tôt.

Nous tapons ce qui suit pour ce faire:

sudo fail2ban-client set sshd unbanip 192.168.5.25

Sur notre ordinateur distant, si nous faisons une autre demande de connexion SSH et saisissons le mot de passe correct, nous serons autorisés à nous connecter:

ssh dave@ubuntu20-04.local

Simple et efficace

Plus simple est généralement mieux, et fail2ban est une solution élégante à un problème délicat. Il nécessite très peu de configuration et n’impose pratiquement aucune surcharge opérationnelle, à vous ou à votre ordinateur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pourquoi les CD et DVD ajoutent-ils des données du centre vers l'extérieur?

Pourquoi les CD et DVD ajoutent-ils des données du centre vers l’extérieur?

Comment déconnecter votre compte Twitch d'Amazon Prime

Comment déconnecter votre compte Twitch d’Amazon Prime