fail2ban et Squid : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Page créée avec « Catégorie:Sécurité '''Lien court''' vers cette page : http://vt.cx/feS '''QR code''' vers cette page : http://vt.cx/feS.qr <html> <script type="text/java... »)
 
 
(2 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
 +
<!-- Links checked 05/04/19 -->
 +
[[Catégorie:Linux]]
 
[[Catégorie:Sécurité]]
 
[[Catégorie:Sécurité]]
  '''[[Lien court]]''' vers cette page : http://vt.cx/feS
+
  '''[[Lien court]]''' vers cette page : https://vt.cx/feS
  '''[[QR code]]''' vers cette page : http://vt.cx/feS.qr
+
  '''[[QR code]]''' vers cette page : https://vt.cx/feS.qr
<html>
+
<html>
<script type="text/javascript"><!--
+
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
google_ad_client = "ca-pub-3341840374417340";
+
<!-- VT2 -->
/* VT2 */
+
<ins class="adsbygoogle"
google_ad_slot = "6349432125";
+
    style="display:inline-block;width:468px;height:60px"
google_ad_width = 468;
+
    data-ad-client="ca-pub-3341840374417340"
google_ad_height = 60;
+
    data-ad-slot="6349432125"></ins>
//-->
+
<script>
</script>
+
(adsbygoogle = window.adsbygoogle || []).push({});
<script type="text/javascript"
+
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
+
 
</script>
 
</script>
 
</html>
 
</html>
<br/>
 
  
= Présentation
+
= Présentation =
 
La mise en place d'un '''[[proxy]]''' par '''[[Squid]]''' est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, '''[[fail2ban]]''' est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :
 
La mise en place d'un '''[[proxy]]''' par '''[[Squid]]''' est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, '''[[fail2ban]]''' est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :
  

Version actuelle en date du 5 avril 2019 à 22:07

Lien court vers cette page : https://vt.cx/feS
QR code vers cette page : https://vt.cx/feS.qr

Présentation

La mise en place d'un proxy par Squid est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, fail2ban est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :

Procédure

Installation de Squid

  • On suppose ici que Squid est déjà installé. Si ce n'est le cas, le faire en s'aidant des instructions situées dans l'article Squid

Localisation du log

Lorsque l'installation est faite et que Squid a été lancé une fois, son fichier log est créé dans le dossier :

/var/log/squid/

Il doit normalement contenir les fichiers suivants :

  • access.log
  • cache.log
  • squid.out

C'est sur access.log que s'opère la surveillance par fail2ban

Création du filtre

  • Créer /etc/fail2ban/filter.d/squid.conf avec :
[Definition]
failregex = ^\s+\d\s<HOST>\s+[A-Z_]+_DENIED/403 .*$
            ^\s+\d\s<HOST>\s+NONE/405 .*$
ignoreregex =

= Création du jail

  • Dans /etc/fail2ban/jail.local ajouter les règles suivantes :
[squid]
enabled = true
port    = all
filter  = squid
action = iptables[name=Squid,port=3168,protocol=tcp]
logpath  = /var/log/squid/access.log
maxretry = 3
  • A noter, le port 3168 est celui par défaut à l'installation de Squid. Si celui-ci a été changé, il faut le modifier ici aussi.

Relancer fail2ban

  • Une fois tout ceci entré, relancer fail2ban par service fail2ban restart

Commentaires

blog comments powered by Disqus