fail2ban et Plesk : Différence entre versions
De Vulgum Techus
(→Informations complémentaires) |
|||
| Ligne 31 : | Ligne 31 : | ||
= Informations complémentaires = | = Informations complémentaires = | ||
* Les données de paramétrages de '''[[fail2ban]]''' sont enregistrées dans '''/etc/fail2ban/jail.local''' et il est possible d'affiner le paramétrage de chaque règle sans risquer l'effacement des règles particulières par '''[[Plesk]]''' qui n'intervient que sur les paramètres généraux suivant : | * Les données de paramétrages de '''[[fail2ban]]''' sont enregistrées dans '''/etc/fail2ban/jail.local''' et il est possible d'affiner le paramétrage de chaque règle sans risquer l'effacement des règles particulières par '''[[Plesk]]''' qui n'intervient que sur les paramètres généraux suivant : | ||
| − | ** '''bantime''' | + | ** '''bantime''' |
| − | ** '''findtime''' | + | ** '''findtime''' |
| − | ** '''maxretry''' | + | ** '''maxretry''' |
* Quand une règle de '''Jail''' est activée sous '''Plesk''' elle passe à '''true''' dans '''/etc/fail2ban/jail.local''' | * Quand une règle de '''Jail''' est activée sous '''Plesk''' elle passe à '''true''' dans '''/etc/fail2ban/jail.local''' | ||
Exemples | Exemples | ||
actif dans '''[[Plesk]]''' -> '''enabled = true''' dans '''jail.local''' | actif dans '''[[Plesk]]''' -> '''enabled = true''' dans '''jail.local''' | ||
inactif dans '''[[Plesk]]''' -> '''enabled = false''' dans '''jail.local''' | inactif dans '''[[Plesk]]''' -> '''enabled = false''' dans '''jail.local''' | ||
| − | * Voir l'article '''[[fail2ban]]''' pour un complément d' | + | * Il peut être intéressant d'être averti des bannissement, au moins dans un premier temps histoire de sentir l'intensité des attaques, en ajoutant à chaque nouvelle règle active l'instruction suivant au niveau de directive '''action''' |
| + | sendmail-whois[name=NNNNNNNNN, dest=root, sendername="Fail2Ban"] | ||
| + | où NNNNNNNNNN indique la règle qui envoie le message (ex. '''[[SSH]], [[roundcube]], [[Plesk]]''' ou autre selon le choix effectué au niveau des '''Jails''') | ||
| + | * Voir l'article '''[[fail2ban]]''' pour un complément d'informations (interaction avec '''[[iptables]]''' par exemple) | ||
= Articles [[Vulgum Techus]] = | = Articles [[Vulgum Techus]] = | ||
Version du 24 août 2014 à 21:46
Sommaire
Présentation
Allié indispensable de la sécurité d'un serveur, fail2ban veille sur les logs et bloque les IP de ceux dont le nombre de tentatives de connexions ratées dépasse un certain nombre et ce, pour un certain délai. fail2ban se configure pour chaque type de programme susceptible d'être hacké par la force brute (succession de tentatives de login) parmi lesquel Plesk figure en bonne position. Depuis peu, Plesk intègre une option d'installation et de paramétrage de fail2ban comme expliqué ici.
Procédure
Installation de fail2ban pour Plesk
- Sous Plesk cliquer sur Outils & Paramètres dans la colonne de gauche
- Choisir Mises à jour et à niveau dans la colonne Plesk de la liste d'Outils & Paramètres
- Dans le cas d'une première connexion indiquer les identifiants d'administration du serveur (root + mot de passe)
- Ceci fait, la page Installer et mettre à niveau les produits Parallels s'ouvre
- Cliquer sur Ajouter/supprimer des composants
- Cela ouvre une arborescence dans laquelle il faut choisir Fail2Ban authentication failure monitor
- Cliquer sur Continuer pour lancer l'installation du module fail2ban pour Plesk
- Ceci fait il ne reste qu'à le configurer comme expliqué ci-après
Configuration de fail2ban pour Plesk
L'installation décrite plus haut faite, une nouvelle option est dès lors disponible pour le paramétrage de fail2ban pour Plesk comme expliqué maintenant :
- Sous Plesk cliquer sur Outils & Paramètres dans la colonne de gauche
- Choisir Bannissement d'adresses IP (Fail2Ban) dans la colonne Sécurité de la liste d'Outils & Paramètres (il est normalement pointé par un signe nouveau lors de la première installation)
- S'affiche l'écran Bannissement d'adresses IP qui donne accès à plusieurs options dont le paramétrage :
- Adresses IP bannies : liste des éventuelles IP blacklistées par fail2ban
- Adresses IP de confiance : liste des IP qui ne peuvent être bannies quoi qu'il arrive. On les ajoute en cliquant sur Ajouter une IP de confiance
- Jail : liste de toutes les filtres de bannissement installés. Elles peuvent être actives ou non selon les besoins. Cela correspond aux règles placées dans /etc/fail2ban/filter.d
- Log : compte rendu des bannissements effectués
- Paramètre : c'est ici que se configurent les règles de bannissement pour toute tentative d'intrusion. Les paramètres sont :
- Période de bannissement de l'adresse IP (bantime) : durée du bannissement en secondes (par défaut 3600 ce qui équivaut à 1 heure)
- Intervalle de détection des attaques ultérieures (findtime) (en secondes) : intervalle pendant lequel la répétition d'une tentative de log infructueuse est comptabilisée (par défaut 600 ce qui équivaut à 10 minutes)
- Nombre d'échecs avant le bannissement de l'adresse IP (maxretry) : Nombre de tentatives infructueuses de logins générant le bannissement
- Une fois les paramètres modifiés (si nécessaire) cliquer sur OK pour les sauvegarder
- D'une manière générale les paramètres sont à déterminer en fonction de l'intensité des tentatives d'intrusion qui sont faites, dans la quasi totalité des cas, par des bots qui passe leur temps à tenter des intrusions par force brute sur tous les logins qu'ils trouvent sur leur route (SSH, roundcube, CMS, Plesk, ProFTPD, etc.)
Informations complémentaires
- Les données de paramétrages de fail2ban sont enregistrées dans /etc/fail2ban/jail.local et il est possible d'affiner le paramétrage de chaque règle sans risquer l'effacement des règles particulières par Plesk qui n'intervient que sur les paramètres généraux suivant :
- bantime
- findtime
- maxretry
- Quand une règle de Jail est activée sous Plesk elle passe à true dans /etc/fail2ban/jail.local
Exemples actif dans Plesk -> enabled = true dans jail.local inactif dans Plesk -> enabled = false dans jail.local
- Il peut être intéressant d'être averti des bannissement, au moins dans un premier temps histoire de sentir l'intensité des attaques, en ajoutant à chaque nouvelle règle active l'instruction suivant au niveau de directive action
sendmail-whois[name=NNNNNNNNN, dest=root, sendername="Fail2Ban"] où NNNNNNNNNN indique la règle qui envoie le message (ex. SSH, roundcube, Plesk ou autre selon le choix effectué au niveau des Jails)
