Configuration de Fail2ban sur NetBSD
1) Configurer NPF.
Fail2ban travaille de concert avec le pare-feu NPF.
Donc première chose : Configurez NPF !
Dans le fichier de règles par défaut founi dans l'article ci-dessus, une table fail2ban est présente ainsi qu'une règle de blocage.
Ils sont indispensables pour pouvoir faire fonctionner fail2ban.
2) Installer Fail2ban
(loguez vous en root avant de commencer)
pkgin -y in fail2ban
cp /usr/pkg/share/examples/rc.d/fail2ban /etc/rc.d/ && echo fail2ban=YES >> /etc/rc.conf
mkdir /usr/pkg/etc/fail2ban/filter.d/ignorecommands && cp /usr/pkg/share/examples/fail2ban/filter.d/ignorecommands/apache-fakegooglebot /usr/pkg/etc/fail2ban/filter.d/ignorecommands/ && chmod 0644 /usr/pkg/etc/fail2ban/filter.d/ignorecommands/apache-fakegooglebot3) Créer le fichier /usr/pkg/etc/fail2ban/jail.local contenant vos prisons
(servez-vous des exemples de prisons du fichier jail.conf, mais ne copiez QUE LES EXEMPLES.
Ne faîtes pas une copie du jail.conf en jail.local.
Voici un exemple de jail.local pour configurer un bannissement d'IP en cas de trop nombreuses tentatives de connexion avortées via SSH :
############
# GENERAL
[DEFAULT]
# Ignorer les adresses IP listées dans cette section
ignoreip = 127.0.0.1/8
# Paramètres de bannissement généraux
bantime = 3600
maxretry = 5
# Directive pour le bannissement via NPF
banaction = npf
############
# JAILS
[sshd]
enabled = true
port = ssh
logpath = /var/log/authlog
# ... continuer d'ajouter les prisons ici4) Démarrer fail2ban et faîtes des tests !
service fail2ban start- Faîtes plus de 5 tentatives de connexion ratées via SSH tout en regardant le résultat du log fail2ban en direct :
tail -f /var/log/fail2ban.logLorsque fail2ban annonce qu'il bannit l'IP du contactant, regardez si l'IP est bien apparue dans la table NPF :
npfctl table 'fail2ban' listEnfin, tentez de vous connecter via SSH (pour de vrai), et vérifiez si vous ne parvenez plus à connecter.
Pour débannir avant la fin de l'échéance :
fail2ban-client unban --all↑ Haut de page