fail2ban et Squid : Différence entre versions
De Vulgum Techus
Ligne 1 : | Ligne 1 : | ||
+ | <!-- Links checked 05/04/19 --> | ||
+ | [[Catégorie:Linux]] | ||
[[Catégorie:Sécurité]] | [[Catégorie:Sécurité]] | ||
− | '''[[Lien court]]''' vers cette page : | + | '''[[Lien court]]''' vers cette page : https://vt.cx/feS |
− | '''[[QR code]]''' vers cette page : | + | '''[[QR code]]''' vers cette page : https://vt.cx/feS.qr |
<html> | <html> | ||
− | <script | + | <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> |
− | + | <!-- VT2 --> | |
− | + | <ins class="adsbygoogle" | |
− | + | style="display:inline-block;width:468px;height:60px" | |
− | + | data-ad-client="ca-pub-3341840374417340" | |
− | + | data-ad-slot="6349432125"></ins> | |
− | + | <script> | |
− | </ | + | (adsbygoogle = window.adsbygoogle || []).push({}); |
− | <script | + | |
− | + | ||
</script> | </script> | ||
</html> | </html> | ||
− | |||
= Présentation | = Présentation |
Version du 5 avril 2019 à 22:07
Lien court vers cette page : https://vt.cx/feS QR code vers cette page : https://vt.cx/feS.qr
= Présentation La mise en place d'un proxy par Squid est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, fail2ban est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :
Sommaire
Procédure
Installation de Squid
- On suppose ici que Squid est déjà installé. Si ce n'est le cas, le faire en s'aidant des instructions situées dans l'article Squid
Localisation du log
Lorsque l'installation est faite et que Squid a été lancé une fois, son fichier log est créé dans le dossier :
/var/log/squid/
Il doit normalement contenir les fichiers suivants :
- access.log
- cache.log
- squid.out
C'est sur access.log que s'opère la surveillance par fail2ban
Création du filtre
- Créer /etc/fail2ban/filter.d/squid.conf avec :
[Definition] failregex = ^\s+\d\s<HOST>\s+[A-Z_]+_DENIED/403 .*$ ^\s+\d\s<HOST>\s+NONE/405 .*$ ignoreregex =
= Création du jail
- Dans /etc/fail2ban/jail.local ajouter les règles suivantes :
[squid] enabled = true port = all filter = squid action = iptables[name=Squid,port=3168,protocol=tcp] logpath = /var/log/squid/access.log maxretry = 3
- A noter, le port 3168 est celui par défaut à l'installation de Squid. Si celui-ci a été changé, il faut le modifier ici aussi.
Relancer fail2ban
- Une fois tout ceci entré, relancer fail2ban par service fail2ban restart