LifoLife

Installer fail2ban

Fail2ban permet d'etablir des regles du genre bannir pendant 600 secondes quiconque echouera à 3 tentatives d'identifications. Cela permet d'eviter les attaques par bruteforce. Il est disponible pour SSH, PAM, Xinetd, Apache, VsFTPD, ProFTPD, WuFTPD, Postfix, Courier et Bind. Mais vous pouvez egalement ecrire vos propres regles. Quiconque echouera plus de 3 fois sera bannit par une regle dans Iptable qui l'empechera de se connecter.

Pour installer fail2ban
apt-get install fail2ban

Creer jail.local qui aura autorité sur jail.conf et ne se fera pas ecraser à la prochaine mise à jour
cd /etc/fail2ban
cp jail.conf jail.local

Editer jail.local pour modifier l'adresse email de destination destemail puis activer les modules necessaires en bas de fichier.

Si vsftpd est utilisé avec pam, le log est /var/log/auth.log et non le vsftpd.log.

Redemarrer fail2ban
/etc/init.d/fail2ban restart

Utiliser portsentry

Installer le packet
apt-get install portsentry

Editer /etc/portsentry/portsentry.conf pour modifier ces valeurs
BLOCK_UDP="1";
BLOCK_TCP="1";

Et egalement decommenter KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Puis un /etc/init.d/portsentry restart.

Plein de ports bidons (netstat -an) seront alors créés. Tout tentative de scannage des ports provoquera un blacklistage du fautif. Attention d'autres logiciels de securité seront egalement leurrés et détecterons des faux positifs.