fail2ban et Squid : Différence entre versions
De Vulgum Techus
Ligne 16 : | Ligne 16 : | ||
</html> | </html> | ||
− | = Présentation | + | = Présentation = |
La mise en place d'un '''[[proxy]]''' par '''[[Squid]]''' est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, '''[[fail2ban]]''' est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes : | La mise en place d'un '''[[proxy]]''' par '''[[Squid]]''' est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, '''[[fail2ban]]''' est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes : | ||
Version actuelle en date du 5 avril 2019 à 22:07
Lien court vers cette page : https://vt.cx/feS QR code vers cette page : https://vt.cx/feS.qr
Sommaire
Présentation
La mise en place d'un proxy par Squid est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, fail2ban est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :
Procédure
Installation de Squid
- On suppose ici que Squid est déjà installé. Si ce n'est le cas, le faire en s'aidant des instructions situées dans l'article Squid
Localisation du log
Lorsque l'installation est faite et que Squid a été lancé une fois, son fichier log est créé dans le dossier :
/var/log/squid/
Il doit normalement contenir les fichiers suivants :
- access.log
- cache.log
- squid.out
C'est sur access.log que s'opère la surveillance par fail2ban
Création du filtre
- Créer /etc/fail2ban/filter.d/squid.conf avec :
[Definition] failregex = ^\s+\d\s<HOST>\s+[A-Z_]+_DENIED/403 .*$ ^\s+\d\s<HOST>\s+NONE/405 .*$ ignoreregex =
= Création du jail
- Dans /etc/fail2ban/jail.local ajouter les règles suivantes :
[squid] enabled = true port = all filter = squid action = iptables[name=Squid,port=3168,protocol=tcp] logpath = /var/log/squid/access.log maxretry = 3
- A noter, le port 3168 est celui par défaut à l'installation de Squid. Si celui-ci a été changé, il faut le modifier ici aussi.
Relancer fail2ban
- Une fois tout ceci entré, relancer fail2ban par service fail2ban restart