Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 16/04/2022, à 18:40

fan2tango

Configuration de fail2ban avec ufw

Bonjour à tous,

Je configure mon serveur avec la version 20.04 LTS (Focal Fossa) en remplacement d'une 16.04
Par défaut, c'est ufw qui est installé à la place d'iptables.. pourquoi pas.

Par contre, j'ai installé fail2ban mais je ne suis pas vraiment certain de la config.
J'ai créé mon /etc/fail2ban/jail.local en copie du jail.conf et je regarde dedans :

banaction = iptables-multiport
banaction_allports = iptables-allports

faut-il modifier le banaction pour

banaction = ufw

(j'ai vu qu'il y avait un ufw.conf dans /etc/fail2ban/action.d/

alors, que faut-il mettre dans banaction_allports ?

Enfin, y-a-t'il d'autres modification à faire ?

Merci par avance

Hors ligne

#2 Le 16/04/2022, à 18:50

Vobul

Re : Configuration de fail2ban avec ufw

fan2tango a écrit :

Par défaut, c'est ufw qui est installé à la place d'iptables..

Non en fait ufw c'est juste un frontend pour iptables.

fan2tango a écrit :

faut-il modifier le banaction pour

banaction = ufw

Oui.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 16/04/2022, à 21:15

Nuliel

Re : Configuration de fail2ban avec ufw

Vobul a écrit :

Non en fait ufw c'est juste un frontend pour iptables.

Un frontend pour netfilter non? (si je dis pas de bêtises, iptables est aussi un frontend à netfilter)

Hors ligne

#4 Le 16/04/2022, à 21:39

Vobul

Re : Configuration de fail2ban avec ufw

Nuliel a écrit :

Un frontend pour netfilter non? (si je dis pas de bêtises, iptables est aussi un frontend à netfilter)

Oui c'est ça, donc au final ça revient au même smile


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#5 Le 17/04/2022, à 07:18

bruno

Re : Configuration de fail2ban avec ufw

Mode tétrapiloctomie : ufw est bien une surcouche pour iptables et non directement pour netfilter.

@fan2tango : je te déconseille de modifier banaction pour utiliser ufw à la place d'iptables. D'abord parce que cela créée une dépendance inutile à ufw et donc une source de panne supplémentaire. Ensuite parce que le règles iptables créés sont plus précises (filtrage par port) que celles d'ufw (rejet complet par IP).

Pour le reste de la configuration tout dépend des services installés et des objectifs d'utilisation de fail2ban.

#6 Le 17/04/2022, à 09:42

fan2tango

Re : Configuration de fail2ban avec ufw

ok, j'ai compris.
UFW est un frontend de iptables qui est un frontend de netfilter.
@Bruno, compris l'objectif. Je vais reprendre la config de base.
Dans les version 16.04, on voyant via webmin/iptable sles IP bloquées sur action de fail2ban et là, visiblement, ce n'est pas le cas. Y-a-t'il moyen de le voir ?
Objectif principal , surveiller les entrées SSH/SFTP

Dernière modification par fan2tango (Le 17/04/2022, à 09:45)

Hors ligne

#7 Le 17/04/2022, à 10:21

bruno

Re : Configuration de fail2ban avec ufw

AMHA, fail2ban pour SSH/SFTP cela ne sert pas à grand chose (en tout cas rien du tout au niveau sécurité) si ton serveur est correctement configuré : accès uniquement par clés ou mot de passe très solides, plus des restrictions éventuelles sur les utilisateurs, groupes ou IP autorisés à se connecter (cf les directives Match du fichier /etc/ssh/sshd_config)

#8 Le 17/04/2022, à 10:51

jplemoine

Re : Configuration de fail2ban avec ufw

Je ne suis pas d'accord. Le fail2ban permet de limiter :
- les attaques brut force par la même machine
- couplé à geoip : ça permet de bloquer les adresses IP "étrangères" à une liste blanche qui insisteraient.

L'autre possibilité (les 2 solutions n'étant pas exclusives entre elles) est d'utiliser une double authentification via TOIP.


Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

Hors ligne

#9 Le 17/04/2022, à 11:50

bruno

Re : Configuration de fail2ban avec ufw

Plus exactement fail2ban va uniquement diminuer la probabilité de réussite d'une attaque par force brute menée par une seule IP. Ce qui en limite déjà fortement l'intérêt. Un service bien configuré est de toute façon insensible à ce type d'attaque, ce qui rend fail2ban totalement inutile d'un point de vue sécurité (mais cela à d'autres intérêts).

#10 Le 20/04/2022, à 08:14

fan2tango

Re : Configuration de fail2ban avec ufw

Bonjour à tous,
Je comprends bien les arguments de Bruno et je ne suis pas très loin de les partager.
Néanmoins, quand vous fournissez un service à des grosses boites qui réclament des sécurités dans tous les sens, il faut bien leur mettre quelque chose sous la dent et fail2ban fait le job. D'où son install et l'idée de pouvoir démontrer qu'il bloque des entrées.

Hors ligne

#11 Le 20/04/2022, à 09:09

bruno

Re : Configuration de fail2ban avec ufw

Cela peut effectivement être un argument pour l'utilisation de fail2ban et cela va tout à fait dans mon sens : fail2ban est la plupart du temps installé pour donner un faux sentiment de sécurité. Pour moi fail2ban n'est véritablement utile que pour :
- économiser des ressources en évitant qu'une même IP envoi des requêtes toutes les x secondes pendant x temps, à comparer toutefois avec les ressources consommées par fail2ban lui-même ;
- éviter une éventuelle saturation des logs dans le même cas de figure ;
- créer ou enrichir une base de données d'IP « malveillantes » (ex: abuseIPDB) afin de créer des listes noires fiables ;
- signaler automatiquement au service abuse concerné (peu efficace mais parfois utile) ;
- repérer plus facilement les IP des services qui scannent l'Internet à la recherche de vulnérabilités (shodan, censys ou même l'ANSSI) ;

Pour ce qui est du blocage, tu peux démontrer qu'il bloque une tentative d'entrée provenant d'une seule et même IP. Si  ta grosse boîte est ciblée par de vrais acteurs malveillants, fail2ban sera totalement inefficace face à un botnet qui utilise des dizaines, voire des centaines d'IP différentes.

Si j'étais une grosse boîte qui réclame de la sécurité, je commencerais par exiger de savoir qui à accès à l’administration du serveur, quels sont les outils utilisés (webmin vraiment ?), comment les accès sont sécurisés, comment la maintenance (politique des mises à jour) et la surveillance (outil de monitoring et d'alerte) du serveur sont assurés, quelle est la politique de sauvegarde et de reprise de service en cas d'incident, etc.

#12 Le 20/04/2022, à 15:07

fan2tango

Re : Configuration de fail2ban avec ufw

Certes. Mais tout argument complémentaire est de nature à rassurer certains.
Et comme dans mon install précédente en 16.04, l'interface webmin (limitée en accès à partir d'une IP spécifique) présentait les blocages d'IP, c'était assez visuel d'où mon interrogation initiale.

Hors ligne

#13 Le 20/04/2022, à 16:45

bruno

Re : Configuration de fail2ban avec ufw

Je n'ai utilisé webmin qu'une seule fois il y a des années, donc je ne saurait te dire où cela se trouve. Par contre on peut voir les IP bloquées en affichant les règles iptables ou les logs de fail2ban.

#14 Le 21/04/2022, à 18:00

mazarini

Re : Configuration de fail2ban avec ufw

Il y a une commande : fail2ban-cli banned (de mémoire) qui permet de voir les ip bannies.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#15 Le 21/04/2022, à 20:40

NicoApi73

Re : Configuration de fail2ban avec ufw

Bonsoir,

La commande est :

fail2ban-client status nom_de_la_prison

Dernière modification par NicoApi73 (Le 22/04/2022, à 05:57)

Hors ligne

#16 Le 21/04/2022, à 20:45

NicoApi73

Re : Configuration de fail2ban avec ufw

bruno a écrit :

Plus exactement fail2ban va uniquement diminuer la probabilité de réussite d'une attaque par force brute menée par une seule IP. Ce qui en limite déjà fortement l'intérêt. Un service bien configuré est de toute façon insensible à ce type d'attaque, ce qui rend fail2ban totalement inutile d'un point de vue sécurité (mais cela à d'autres intérêts).

+1 Celle que j'ai vu, l'adresse IP changeait à chaque fois. Le principal étant d'avoir un système à jour (mise à jour quotidienne) et une authentification par clé (ou un mot de passe complexe quand la clé n'est pas possible).

Hors ligne

#17 Le 22/04/2022, à 05:56

bruno

Re : Configuration de fail2ban avec ufw

Je pense que @mazarini faisait allusion à :

fail2ban-client banned

qui donne un retour sous forme JSON des IP bannies pour chaque « jail ».