[fail2ban] ban d'error
ban d'error [fail2ban] - Logiciels - Linux et OS Alternatifs
Marsh Posté le 14-06-2008 à 10:26:35
Il ne faut pas sombrer dans la paranoïa et blacklister toutes les adresses IP qui ne font pas une action "conforme" à tes attentes...
---------------
Relax. Take a deep breath !
Marsh Posté le 14-06-2008 à 12:00:27
O'gure, quand qqn tente d'acceder à 25 repertoires de /var/www/* qui existent pas. Dont 10 fois en 3 secondes, je me permet sans aucun soucis de le rediriger chez les TT pendant 24h 
Marsh Posté le 14-06-2008 à 12:42:21
Bonjour,
J'avais les mêmes problèmes et j'ai créé une règle fail2ban :
dans /etc/fail2ban/filter.d, j'ai mis le fichier apache-admin.conf suivant (gère les erreurs de fichier non eistants si il y a admin dans le nom - évite de bannir tout le monde en cas d'erreur sur un line ; ainsi que les errreurs d'authentification sur un dossier protégé par un pass):
Code :
|
et dans /etc/fail2ban/jail.conf j'ai ajouté avec les autres définitions :
Code :
|
Marsh Posté le 14-06-2008 à 12:47:55
Oui mais là c'est sec ... Le type qui se crée un compte "admirateur" il se retrouve en tôle ![[:kbchris]](https://forum-images.hardware.fr/images/perso/kbchris.gif "[:kbchris]")
Message édité par esox_ch le 14-06-2008 à 12:48:50
Marsh Posté le 14-06-2008 à 13:03:59
| esox_ch a écrit : Oui mais là c'est sec ... Le type qui se crée un compte "admirateur" il se retrouve en tôle |
Oui c'est vrai qu'admin à la place d'admi ça serait mieux... 
Après on peut laisser plus de 4 tentatives (les gars qui scannent tous les phpmyadmin et autre sont assez persistants...).
Après je voie pas trop comment éviter les faux positifs dans les cas merdiques...
Marsh Posté le 14-06-2008 à 13:45:26
J'avais vu un mod qui était pas mal.. Il te permettait de bannir l'IP pendant un temps dépendant du délai entre 2 accès...
En gros, tu tente /admin => Il te redirige vers une page qui te dit que la page n'existe pas. Là tu retentes une page qui existe pas, il te dit que tu as 10sec "de ban", tu retentes avant les 10 sec, tu te manges 10 min ,...
Du coups c'est super efficace pour les bots, mais les gens sont en général assez malins pour pas se faire bannir 250 ans..
Marsh Posté le 14-06-2008 à 14:49:37
| esox_ch a écrit : O'gure, quand qqn tente d'acceder à 25 repertoires de /var/www/* qui existent pas. Dont 10 fois en 3 secondes, je me permet sans aucun soucis de le rediriger chez les TT pendant 24h |
Et le jour ou tu supprimes un repertoire d'un site, que t'oublies de mettre à jour les liens d'une page qui référence 10 images qui s'y trouvaient, tu dis bye bye à tes visiteurs qui passe par cette page ![[:volta]](https://forum-images.hardware.fr/images/perso/volta.gif "[:volta]")
---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Sujets relatifs:
- Grub error 21 après install ubuntu, et maintenant Disk Boot Failure
- [ubuntu] problème grub error 18
- Probleme avec Xorg et xinerama | problème TwinView
- grub error 22 [Résolu]
- [Red Hat AS 3.0] Write error
- Grub error 17, moyens limités pour réparer
- besoin d'aide fatal error mondoarchive
- pb config fail2ban
- Installation ArtistX - Error 15 File not found
- Fatal server error: no screens found-RADEON 9200-driver fglrx
Marsh Posté le 13-06-2008 à 20:43:40
bonjour,
je viens de me monter un serveur web et bien sur j'ai subi quelques attaques et dans mes log d'apache et plus précisément dans le fichier error.log j'ai ceci :
comme si une personne essayé d'accéder a des fichiers, comment puis je paramétre fail2ban pour qu'il bannisse les utilisateurs qui essaie d'accéder à des fichiers qui n'existe pas ?
merci par avance
Séb