{"id":374,"date":"2023-07-11T13:19:47","date_gmt":"2023-07-11T13:19:47","guid":{"rendered":"https:\/\/blog.nibelheim.fr\/?p=374"},"modified":"2023-07-11T13:19:47","modified_gmt":"2023-07-11T13:19:47","slug":"configurer-fail2ban-sur-raspbian","status":"publish","type":"post","link":"https:\/\/blog.nibelheim.fr\/?p=374","title":{"rendered":"Configurer Fail2Ban sur Raspbian"},"content":{"rendered":"\n

Sans vous en rendre n\u00e9cessairement compte, vous pouvez \u00eatre sujet \u00e0 des tas de tentatives de login parasite sur votre Raspberry Pi, surtout si vous lui faites tourner un serveur Web, visible donc depuis l’ext\u00e9rieur.
De nombreux bots sont \u00e0 l’aff\u00fbt et vont tenter de rentrer chez vous en sondant constamment vos ports vuln\u00e9rables et rentrer, au hasard, des login et mots de passe jusqu’\u00e0 ce que “\u00e7a passe”.<\/p>\n\n\n\n

Bien que les box internet soient normalement destin\u00e9es \u00e0 ne laisser passer que le trafic sur les ports pr\u00e9cis (le port forwarding), je me retrouve dans un cas plut\u00f4t incompr\u00e9hensible o\u00f9 mon Raspberry Pi re\u00e7oit des demandes de login sur des ports qui ne sont pas forward\u00e9s, et qui ne devraient donc jamais \u00eatre visibles… Sauf que si. La preuve dans \/var\/log\/auth.log :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Fail2Ban est un programme qui permet de bannir des adresses IP en fonction de r\u00e8gles que l’on aura \u00e9tablies.
Voici un exemple de r\u00e8gles que nous allons tenter d’appliquer : “apr\u00e8s 3 tentatives de login sur un port qui n’est pas dans ma liste, bannis l’adresse IP”<\/strong>.<\/p>\n\n\n\n

En avant.<\/p>\n\n\n\n

sudo apt update && sudo apt full-upgrade -y
sudo apt install fail2ban<\/code><\/pre>\n\n\n\n
Cr\u00e9ation de la r\u00e8gle et du filtre<\/h2>\n\n\n\n
Ceci \u00e9tant fait, nous allons cr\u00e9er la r\u00e8gle (appel\u00e9e “jail”) en elle-m\u00eame :<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/jail.d\/myjail_wrongport.local<\/code><\/pre>\n\n\n\n
Puis copiez le contenu suivant :<\/p>\n\n\n\n
[custom-port]
enabled = true
filter = myban_wrongports
action = iptables-allports
logpath = \/var\/log\/fail2ban.log
maxretry = 3
findtime = 3600
bantime = -1<\/code><\/pre>\n\n\n\n
Ceci indique \u00e0 Fail2Ban que : “la r\u00e8gle custom-port est activ\u00e9e, requiert le filtre (pas encore cr\u00e9\u00e9) myban_wrongports, si ce filtre est d\u00e9clench\u00e9 3 fois sur un temps de 3600 secondes, bannis l’IP pour toujours (-1 \u00e0 bantime)”<\/em>.<\/p>\n\n\n\n
Maintenant, nous allons cr\u00e9er le filtre en question :<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/filter.f\/myban_wrongports.conf<\/code><\/pre>\n\n\n\n
Et copiez-y le contenu :<\/p>\n\n\n\n
[Definition]
failregex = ^ -.*\\b(80|443)\\b
ignoreregex =<\/code><\/pre>\n\n\n\n
Dans l’expression regex ci-dessus, entre parenth\u00e8ses se trouve la liste des ports en-dehors desquels un ban est d\u00e9clench\u00e9. Ci-dessus, seuls 80 et 443 sont autoris\u00e9s,<\/strong> mais vous pouvez ajouter les ports de votre choix entre symboles OU (|)<\/strong>, soit AltGr-6 .<\/p>\n\n\n\n
Gestion de la persistance des bannissements<\/h2>\n\n\n\n
Ceci \u00e9tant fait, il faut maintenant g\u00e9rer les persistance des bannissements, car si jamais vous red\u00e9marrez Fail2Ban, ou votre machine tout court, celui-ci oubliera tout.
A noter que F2B utilise d\u00e9j\u00e0 une database locale, mais son usage ne sera pas d\u00e9taill\u00e9 ici (nous allons utiliser une m\u00e9thode assez sale… Mais qui marche). Merci \u00e0 cet article<\/a> pour la source!<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/action.d\/iptables-multiport.conf<\/p>\n\n\n\n
Et \u00e9ditez tr\u00e8s pr\u00e9cis\u00e9ment comme d\u00e9crit dans ce super article les lignes en gras :<\/p>\n\n\n\n
[Definition]<\/code># Option:\u00a0 actionstart<\/code># Notes.:\u00a0 command executed once at the start of Fail2Ban.<\/code># Values:\u00a0 CMD<\/code>#<\/code>\nactionstart = iptables -N fail2ban-<name><\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0iptables -A fail2ban-<name> -j RETURN<\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name><\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0<\/code>\u00a0\u00a0cat \/etc\/fail2ban\/persistent.bans | awk '\/^fail2ban-<name>\/ {print $2}' \\<\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0| while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j <blocktype>; done<\/code><\/strong># Option:\u00a0 actionstop<\/code># Notes.:\u00a0 command executed once at the end of Fail2Ban<\/code># Values:\u00a0 CMD<\/code>#<\/code>\nactionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name><\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0iptables -F fail2ban-<name><\/code>\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0iptables -X fail2ban-<name><\/code># Option:\u00a0 actioncheck<\/code># Notes.:\u00a0 command executed once before each actionban command<\/code># Values:\u00a0 CMD<\/code>#<\/code>\nactioncheck = iptables -n -L <chain> | grep -q 'fail2ban-<name>[ \\t]'<\/code># Option:\u00a0 actionban<\/code># Notes.:\u00a0 command executed when banning an IP. Take care that the<\/code>#\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 command is executed with Fail2Ban user rights.<\/code># Tags:\u00a0\u00a0\u00a0 See jail.conf(5) man page<\/code>\n# Values:\u00a0 CMD<\/code>#<\/code>\nactionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype><\/code>\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0echo \"fail2ban-<name> <ip>\" >> \/etc\/fail2ban\/persistent.bans<\/strong><\/code><\/code><\/pre>\n\n\n\n
Puis, ne pas oublier de red\u00e9marrer fail2ban :<\/p>\n\n\n\n
sudo service fail2ban restart<\/code><\/pre>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Sans vous en rendre n\u00e9cessairement compte, vous pouvez \u00eatre sujet \u00e0 des tas de tentatives de login parasite sur votre Raspberry Pi, surtout si vous lui faites tourner un serveur Web, visible donc depuis l’ext\u00e9rieur.De nombreux bots sont \u00e0 l’aff\u00fbt et vont tenter de rentrer chez vous en sondant constamment […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,8],"tags":[21,25],"class_list":["post-374","post","type-post","status-publish","format-standard","hentry","category-linux","category-raspberry-pi","tag-network","tag-raspberry"],"_links":{"self":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/374","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=374"}],"version-history":[{"count":4,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/374\/revisions"}],"predecessor-version":[{"id":379,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/374\/revisions\/379"}],"wp:attachment":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=374"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=374"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=374"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}