Installer Fail2ban Ubuntu

Transcription

1 Installer Fail2ban Ubuntu Me revoilà aujourd hui pour vous expliquer comment mettre en place Fail2ban sur votre serveur ou votre Pc perso. Fail2Ban est un analyseur de logs en temps réel qui bannit les adresses IP qui ont obtenu un trop grand nombre d échecs lors de l authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP. Ces règles peuvent êtres définies par l utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache et bien d autres encore. En préambule j aimerais ajouter que Fail2Ban n est pas une protection efficace a 100%, effectivement si un hacker veut vraiment pénétrer votre machine fail2ban ne l arrêtera pas, mais fail2ban est un outil terriblement efficace contre les script-kiddies et autres Kevins du net. Fail2ban s aide d iptables afin de bannir les méchantes ip! Donc comme d hab sur un système a base de Ubuntu/Debian, on installe fail2ban : sudo apt-get install fail2ban Voila fail2ban est installé et démarré. Dans sa config par défaut il protège le service ssh de toute intrusion. Bon nous on veut plus de protection, alors on va mettre les mains dans le cambouis. Fail2ban se présente sous la forme de deux fichiers de conf présent dans /etc/fail2ban/ : -fail2ban.conf (le fichier de conf principal) -jail.conf (le fichier de conf des prisons) Une prison est simplement la définition d un service a surveiller, nous y reviendront plus tard. Éditez le fichier fail2ban.conf, rien de spécial a paramétrer dans ce fichier juste vérifier quelques lignes : sudo vim /etc/fail2ban/fail2ban.conf Vérifier l exactitude de ces lignes (surtout socket =) : loglevel = 1 logtarget = /var/log/fail2ban.log socket = /var/run/fail2ban/fail2ban.sock Si tout est ok on passe a la config pure et dure du logiciel à l aide du fichier jail.conf Jail.conf est le fichier de définitions des services a surveiller. Il s appuie sur des filtres préalablement définis dans /etc/fail2ban/filter.d Nous allons paramétrer tout d abord quelques services de bases et ensuite nous créerons nos propres filtres et définitions de services. Cool, non? Paramétrage du fichier dit de base «sans ajouts» jail.conf

2 J ai commenté le fichier afin que vous vous y retrouviez sudo vim /etc/fail2ban/jail.conf [DEFAULT] ignoreip = # Ceci sont les adresses ip a ne pas bannir bantime = # Ceci est le temps de bannissement en secondes (ici 1 an, je sais j y vais fort mais bon ) maxretry = 2 # Ceci est le nombre d essais max avant bannissement backend = polling # laisser par défaut dest = ludocolin@gmail.com # le mail qui recevra les alertes fail2ban banaction = iptables-multiport # l action par défaut quand on ban mta = sendmail # la commande pour envoyer des mail (ici avec sendmail ou postfix) protocol = tcp # le protocole a surveiller #### LES ACTIONS #### action_ = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] action_mw = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois[name=%( name )s, dest="%(dest )s", protocol="% (protocol)s] action_mwl = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois-lines[name=%( name )s, dest="%(dest )s", logpath=%(logpath)s] action = %(action_mwl)s # Ceci est l'action par défaut lors d'un ban. Ici j'ai choisi de ban l'adresse ip + de m'envoyer un mail et dans ce mail d'avoir des infos de type whois sur l'ip attaquante. # # Configuration des JAILS # [ssh] # le nom du service qu on souhaite surveiller # activé ou non (false) port = 22 # le port sur lequel le service écoute filter = sshd # le fichier.conf présent dans filter.d logpath = /var/log/auth.log # le fichier de log a analyser # le nombre de tentatives avant ban [ssh-ddos] port = 22 filter = sshd-ddos logpath = /var/log/auth.log [apache] filter = apache-auth

3 [apache-multiport] filter = apache-auth [apache-noscript] filter = apache-noscript [apache-overflows] filter = apache-overflows [vsftpd] port = ftp,ftp-data,ftps,ftps-data filter = vsftpd logpath = /var/log/auth.log [proftpd] port = ftp,ftp-data,ftps,ftps-data filter = proftpd logpath = /var/log/proftpd/proftpd.log maxretry = 6 [wuftpd] port = ftp,ftp-data,ftps,ftps-data filter = wuftpd logpath = /var/log/auth.log maxretry = 6 [postfix] port = smtp,ssmtp filter = postfix [couriersmtp] port = smtp,ssmtp filter = couriersmtp [courierauth]

4 port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = courierlogin [sasl] port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl [named-refused-udp] port = domain,953 protocol = udp filter = named-refused logpath = /var/log/named/security.log [named-refused-tcp] port = domain,953 protocol = tcp filter = named-refused logpath = /var/log/named/security.log Je précise que toute configuration effectuée dans les jails overwrite la config globale. Par exemple si dans ma config globale j ai max retry = 2 et que dans ma jail j ai max retry = 1, alors c est la configuration de la jail qui est prise en compte. Avec cette configuration par défaut, vous êtes déjà bien protégés. Cette configuration ne me suffisait pas et dans mes logs je retrouvait toujours des lignes du type : client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfind:) Invalid URI in request \xea\xf5\xd2x\xf2\xb4\x99\xba\xf5 \xe9\xea\xa2\xa5\x8b\x02gy?+\x19\xe5\xd5\x0f#\xb5tv\x81\xcf~\x14-` File does not exist: /usr/share/phpmyadmin/config TCP: Treason uncloaked! Peer XXX.XXX.XXX.XXX:61881/39931 shrinks window : Repaired Ah ces Kevins du net avec leurs scanners de failles, y en a a même qui essaye de DDOS mon serveur. Ah ces jeunes alors! Bon allez trêves de plaisanteries je vais bloquer tout ça. Ca leur apprendra. Donc je décide de créer mes propres filtres pour eviter que ce genre de lignes pollue mes logs et que les ip faultives soit bannies. Prenons pour exemple la première ligne de logs : client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.isc.sans.dfind:) C est la trace d un scanner de failles qui s appelle Dfind. Je décide de bloquer les ips qui scannent mon serveur. Je crée une nouvelle Jail dans le fichier sudo vim /etc/fail2ban/jail.conf [apache-w00tw00t]

5 port = 80,443 action = %(action_mwl)s filter = apache-w00tw00t logpath = /var/log/apache2/*access.log # Remarquez que là ce n est pas le fichier de log des erreurs mais celui des accés On enregistre le fichier On crée le filtre correspondant : sudo vim /etc/fail2ban/filter.d/apache-w00tw00t.conf On colle ceci dedans : failregex = ^ -.*»GET \/w00tw00t\.at\.isc\.sans\.dfind\:\).*».* # Ceci est le regex qui fera se dclencher fail2ban, marche avec lesexpressiosn regulieres # Ceci est le regex a ignoré On verifie que l on a a bien defini son regex : sudo fail2ban-regex /var/log/apache2/votre_fichier_access.log /etc/fail2ban/filter.d/apache-w00tw00t.conf Le resultat doit donner un truc du style : Success, the total number of match is 20 On redemarre Fail2ban pour prendre en compte les modifications : sudo /etc/init.d/fail2ban restart On verifie que nos jails sont bien en place : sudo fail2ban-client status Et voila! fini pour vous les Kevins et vos scanners. Voila a vous de vous amuser a creer des filtres! Voici quelques filtres de ma composition : Apache-scan : [apache-scan] port = 80,443 filter = apache-scan action = %(action_mwl)s logpath = /var/log/apache2/*access.log filter.d/apache-scan.conf : failregex = ^ -.*"GET \/nonexistenshit.*".* ^ -.*"GET.*xmlrpc\.php.*".* ^ -.*"GET.*html2text\.php.*".*

6 Anti DDOS : [dos] port = 80,49152 filter = dos logpath = /var/log/kern.log filter.d/dos.conf failregex = TCP: Treason uncloaked! Peer Apache-admin jail.conf: [apache-admin] filter = apache-admin filter.d/apache-admin.conf failregex = [[]client []] File does not exist:.*(admin PMA mysql phpmyadmin phpmyadmin scripts) Apache-headers : [apache-headers] filter = apache-headers filter.d/apache-headers.conf : failregex = [[]client []] request failed: error reading the headers Apache-invalid : [apache-invalid] filter = apache-invalid

7 filter.d/apache-invalid.conf : failregex = [[]client []] Invalid URI in request.* Voila terminé