L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Un pare-feu adaptatif » Mise en œuvre

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
140-pare-feu-fail2ban:10-install-fail2ban [le 30/06/2025 à 14:26] – [jail.d] prof140-pare-feu-fail2ban:10-install-fail2ban [le 06/07/2025 à 15:50] (Version actuelle) prof
Ligne 134: Ligne 134:
     * **action = %(action_)s**\\ L'action qui sera menée par défaut étant définie ici comme étant la plus simple: «action_»     * **action = %(action_)s**\\ L'action qui sera menée par défaut étant définie ici comme étant la plus simple: «action_»
 Pour approfondir la question, il est utile de lire les commentaires inscrits dans ''jail.conf'' et non retranscrits ici. Pour approfondir la question, il est utile de lire les commentaires inscrits dans ''jail.conf'' et non retranscrits ici.
 +
 +<note important>En ce qui concerne l'action «//action_cf_mwl//» celle-ci n'affichera les lignes de logs que si le «backend» est un fichier de logs «à l'ancienne». Dans le cas  de journaux gérés par systemd il faudra, si l'on souhaite les ligne de logs, créer une action supplémentaire... </note>
  
 La seconde partie définit justement des «prisons» que l'on veut activer pour différents services. Aucune n'est active par défaut puisque le paramètre «enabled» est justement positionné par défaut sur «faux».  La seconde partie définit justement des «prisons» que l'on veut activer pour différents services. Aucune n'est active par défaut puisque le paramètre «enabled» est justement positionné par défaut sur «faux». 
Ligne 179: Ligne 181:
 </code> </code>
 Les divers fichiers contenus dans ce répertoire seront lus par ordre alphabétique et leur contenu écrasera éventuellement ce qui a pu être défini précédemment. Les divers fichiers contenus dans ce répertoire seront lus par ordre alphabétique et leur contenu écrasera éventuellement ce qui a pu être défini précédemment.
- 
-Debian installe un unique fichier dans ce répertoire ''defaults-debian.conf'' qui contient: 
-<html><pre class="code"> 
-[DEFAULT] 
-banaction = nftables 
-banaction_allports = nftables[type=allports] 
- 
-[sshd] 
-backend = systemd 
-journalmatch = _SYSTEMD_UNIT=ssh.service + _COMM=sshd 
-enabled = true 
-</pre></html> 
-Debian protège donc ssh par défaut. Nous allons modifier un peu, mais avant, voyons le principe: 
-  - la source des informations (backend), c'est le journal géré par systemd 
-  - ce qu'il faut observer dans le journal (journalmatch) c'est :\  ''SYSTEMD_UNIT=ssh.service + _COMM=sshd'' 
-  - le filtre est actif (enabled = true) 
-Toutes les autres directives sont données dans les divers paragraphes [DEFAULT] déjà rencontrés lors de la lecture séquentielle de la configuration. Directement ici: 
-  - le bannissement sera effectué avec nftables 
-Dans ''jail.conf'': 
-  - le port = ssh (22 par défaut) 
-  - il y a aussi une définition du «backend» = sshd_backend, dont nous savons sa valeur est initialisée dans le fichier ''paths-debian.conf'':  sshd_backend = systemd. Il y a donc une redite pas forcément nécessaire. 
-  - bantime  = 10m 
-  - findtime  = 10m 
-  - maxretry = 5 
-  - maxmatches = %(maxretry)s 
-  - action = %(action_)s 
-Toutes ces valeurs sont plutôt laxistes compte tenu de la quantité de tentatives d'intrusions que l'on peut observer sur ssh. 
-Nous allons casser le fichier ''defaults-debian.conf'', renommé en ''000-defaults.conf'' et qui contiendra: 
-[DEFAULT] 
-banaction = nftables 
-banaction_allports = nftables[type=allports] 
-maxretry = 3 
-findtime = 10minutes 
-bantime = 15minutes 
-ignoreip = 192.168.60.47, 2a01:e0a:875:b1d0:ac2a:a7ff:fedd:e607 
-</pre></html> 
  
  
Mise en œuvre: Dernière modification le: 30/06/2025 à 14:26 par prof