Lien court vers cette page : https://vt.cx/feS
QR code vers cette page : https://vt.cx/feS.qr

Présentation

La mise en place d'un proxy par Squid est une nouvelle opportunité pour les hackers cherchant à en trouver les identifiants. Pour surveiller cela et bloquer toutes les tentatives répétées d'intrusion, fail2ban est un précieux auxilliaire. Le présent article explique comment le mettre à contribution. Ceci se fait en quelques étapes :

Procédure

Installation de Squid

• On suppose ici que Squid est déjà installé. Si ce n'est le cas, le faire en s'aidant des instructions situées dans l'article Squid

Localisation du log

Lorsque l'installation est faite et que Squid a été lancé une fois, son fichier log est créé dans le dossier :

/var/log/squid/

Il doit normalement contenir les fichiers suivants :

• access.log
• cache.log
• squid.out

C'est sur access.log que s'opère la surveillance par fail2ban

Création du filtre

• Créer /etc/fail2ban/filter.d/squid.conf avec :

[Definition]
failregex = ^\s+\d\s<HOST>\s+[A-Z_]+_DENIED/403 .*$
            ^\s+\d\s<HOST>\s+NONE/405 .*$
ignoreregex =

= Création du jail

• Dans /etc/fail2ban/jail.local ajouter les règles suivantes :

[squid]
enabled = true
port    = all
filter  = squid
action = iptables[name=Squid,port=3168,protocol=tcp]
logpath  = /var/log/squid/access.log
maxretry = 3

• A noter, le port 3168 est celui par défaut à l'installation de Squid. Si celui-ci a été changé, il faut le modifier ici aussi.

Relancer fail2ban

• Une fois tout ceci entré, relancer fail2ban par service fail2ban restart

Commentaires