{"id":1,"date":"2022-01-02T01:18:34","date_gmt":"2022-01-02T00:18:34","guid":{"rendered":"http:\/\/93.90.200.218\/wordpress\/?p=1"},"modified":"2025-04-25T09:28:12","modified_gmt":"2025-04-25T07:28:12","slug":"bonjour-tout-le-monde","status":"publish","type":"post","link":"https:\/\/hinakuu.xyz\/?p=1","title":{"rendered":"Bannir des IP avec Fail2Ban"},"content":{"rendered":"\n

fail2ban<\/strong> est une application qui analyse les logs de divers services (SSH, Apache, FTP\u2026) en cherchant des correspondances entre des motifs d\u00e9finis dans ses filtres et les entr\u00e9es des logs. Lorsqu’une correspondance est trouv\u00e9e une ou plusieurs actions sont ex\u00e9cut\u00e9es. Typiquement, fail2ban cherche des tentatives r\u00e9p\u00e9t\u00e9es de connexions infructueuses dans les fichiers journaux et proc\u00e8de \u00e0 un bannissement en ajoutant une r\u00e8gle au pare-feu iptables<\/a> ou nftables<\/a> pour bannir l’adresse IP de la source.<\/p>\n\n\n\n

Installation<\/h3>\n\n\n\n

Installer la paquet fail2ban puis lancer le service fail2ban.<\/p>\n\n\n\n

sudo apt install fail2ban<\/mark>

sudo apt install -y iptables<\/mark><\/pre>\n\n\n\n
puis d’en cr\u00e9er le d\u00e9marrage automatique<\/p>\n\n\n\n
sudo systemctl start fail2ban<\/mark><\/pre>\n\n\n\n
Et enfin de contr\u00f4ler la bonne installation<\/p>\n\n\n\n
sudo systemctl status fail2ban<\/mark><\/pre>\n\n\n\n
Si la r\u00e9ponse comporte du rouge et le mot \u00ab\u00a0failed\u00a0\u00bb \u00a0\u00bb sur la ligne commen\u00e7ant par \u00ab\u00a0Active :\u00a0\u00bb, les derni\u00e8res lignes du message indiquent les raisons de l’\u00e9chec et permettent sa correction avant un nouvel essai, \u00e0 tenter apr\u00e8s lecture du reste de cet article.<\/p>\n\n\n\n
Si la r\u00e9ponse comporte du vert et les mots \u00ab\u00a0active (running)\u00a0\u00bb sur la ligne commen\u00e7ant par \u00ab\u00a0Active :\u00a0\u00bb, le service est install\u00e9 et actif.<\/p>\n\n\n\n
Configuration<\/a><\/h3>\n\n\n\n
Il est vivement d\u00e9conseill\u00e9 de modifier les fichiers de configuration \/etc\/fail2ban\/fail2ban.conf<\/strong> et \/etc\/fail2ban\/jail.conf<\/strong> (notamment car ils peuvent \u00eatre \u00e9cras\u00e9s par une mise \u00e0 jour). Ces fichiers contiennent les configurations de base qu’on peut surcharger<\/strong> au moyen d’un ou plusieurs fichiers enregistr\u00e9s dans \/etc\/fail2ban\/jail.d<\/strong>
Le fichier \/etc\/fail2ban\/jail.conf<\/strong> doit servir uniquement de r\u00e9f\u00e9rence et de documentation.<\/mark><\/p>\n\n\n\n
Fail2ban ne doit pas \u00eatre consid\u00e9r\u00e9 comme un outil de s\u00e9curisation absolu d’un service<\/strong>. Ses objectifs sont d’\u00e9viter de surcharger les logs du syst\u00e8me avec des milliers de tentatives de connexion et de limiter la port\u00e9e des attaques r\u00e9p\u00e9t\u00e9es provenant d’une m\u00eame machine.
Un serveur avec un acc\u00e8s SSH sur le port standard, par exemple, recevra tr\u00e8s rapidement des centaines, voire des milliers de tentatives de connexions provenant de diff\u00e9rentes machines. Ce sont g\u00e9n\u00e9ralement des attaques par force brute lanc\u00e9es par des robots.
Fail2ban en analysant les logs permet de bannir les IP au bout d’un certain nombre de tentatives ce qui limitera le remplissage des logs et l’utilisation de la bande passante.
Ceci va \u00e9galement rendre les attaques par force brute ou par dictionnaire beaucoup plus difficiles mais ce n’est pas une s\u00e9curit\u00e9 absolue contre ce type d’attaque.<\/p>\n\n\n\n
Mais cela n’am\u00e9liore en rien la s\u00e9curit\u00e9 du service concern\u00e9<\/strong>. Si l’acc\u00e8s SSH n’est pas suffisamment s\u00e9curis\u00e9 (mot de passe faible par exemple) fail2ban n’emp\u00eachera pas un attaquant d’arriver \u00e0 ses fins.
Autrement dit, utilisez votre temps de travail pour analyser vos configurations et s\u00e9curiser vos services plut\u00f4t que d’installer et param\u00e9trer des outils d’analyse de logs plus ou moins gourmands en ressources syst\u00e8me.<\/p>\n\n\n\n
Les param\u00e8tres par d\u00e9faut sont visibles dans le fichier \/etc\/fail2ban\/jail.conf<\/strong><\/p>\n\n\n\n
Param\u00e9trage pour WordPress<\/h3>\n\n\n\n
Cr\u00e9ez un nouveau fichier de filtre\u202f:<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/filter.d\/wordpress.conf<\/mark><\/pre>\n\n\n\n
Collez-y par exemple\u202f:<\/p>\n\n\n\n
[Definition]\n\n# Tentatives de brute-force via xmlrpc.php\nfailregex = ^<HOST> .* \"POST .*xmlrpc\\.php\n\n# Tentatives de brute-force sur wp-login.php\nfailregex += ^<HOST> .* \"POST .*wp-login\\.php\n\n# Vous pouvez ajouter d\u2019autres r\u00e8gles si besoin\nignoreregex =\n\n# White list\nignoreip = 127.0.0.1\/8 xxx.xx.xx.xxx<\/code><\/pre>\n\n\n\n
D\u00e9finir un \u201cjail\u201d pour WordPress :<\/h3>\n\n\n\n
Ouvrez ou cr\u00e9ez un fichier de jail local pour \u00e9viter d\u2019\u00e9craser la config d\u2019origine\u202f:<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/jail.d\/wordpress.local<\/mark><\/pre>\n\n\n\n
[wordpress]\nenabled  = true\nfilter   = wordpress\nport     = http,https\nlogpath  = \/var\/log\/apache2\/access.log\nmaxretry = 5\nfindtime = 600\nbantime  = 3600<\/code><\/pre>\n\n\n\n
Ajustez\u202f:<\/p>\n\n\n\n