L'exécution de fail2ban et d'ufw posera-t-elle des problèmes? J'ai remarqué que fail2ban modifiait les règles iptables, mais ufw a déjà une tonne de règles iptables définies ... je ne suis donc pas sûr que fail2ban les dérangera.
45
Réponses:
Vous pouvez utiliser ufw et fail2b ensemble, mais comme indiqué précédemment, l'ordre des règles (ufw) est ce qui est important.
A la sortie de la boîte, fail2ban utilise iptables et insère les règles en premier dans la chaîne INPUT. Cela ne fera aucun mal ou conflit avec ufw.
Si vous souhaitez intégrer pleinement fail2ban, utilisez ufw (plutôt que iptables). Vous devrez éditer un certain nombre de fichiers, y compris
jail.local est l'endroit où vous définissez vos services, y compris le port sur lequel ils écoutent (pensez à changer de ssh en un port autre que celui par défaut) et les mesures à prendre.
** S'il vous plaît noter *: Ne jamais éditer
jail.conf, vos modifications doivent être effectuéesjail.local
! Ce fichier commence par ceci:En utilisant ssh comme exemple, notez la définition d’un port autre que celui par défaut =)
Vous configurez ensuite fail2ban pour utiliser ufw in (un fichier .conf pour chaque service)
La syntaxe est
Remarque: vous configurez fail2ban pour utiliser ufw et pour insérer les nouvelles règles EN PREMIER à l'aide de la syntaxe "insert 1". La suppression trouvera la règle sans tenir compte de l'ordre.
Il y a un bon article de blog qui va plus en détail ici
http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/
[EDIT] Pour Ubuntu 16.04+
par défaut un "
defaults-debian.conf
"/etc/fail2ban/jail.d
avec du contenusera activé à la protection ssh de fail2ban.
Vous devez le mettre à faux.
Créez ensuite un jail.local comme vous le feriez en général, le mien ressemblerait à ceci:
Il y a déjà un fichier ufw.conf dans l'installation par défaut de fail2ban, vous n'avez donc pas besoin d'en créer un.
Le seul changement spécifique pour vous jail.local serait au niveau de la ligne d’action où vous devez placer l’application concernée pour la protection et ce que vous voulez obtenir comme résultat.
ufw ont tendance à détecter automatiquement un certain nombre d'applications exécutées sur le réseau. Pour avoir la liste, tapez simplement
sudo ufw app list
. C'est sensible à la casse.rechargez fail2ban et vous ne verrez plus la chaîne fail2ban et si une adresse IP se bloque, vous la verrez dans
sudo ufw status
la source
ufw status
, vous avez besoin de l'intégration. En plus d'avoir les blocs en placeufw status
, il n'y aurait aucun autre avantage? En particulier parce que l'auteur du blog dit ce qui suit:J'utilise fail2ban et ufw depuis des années sur plusieurs ordinateurs et je n'ai jamais eu de problèmes. Pour configurer fail2ban:
Maintenant, éditez le fichier comme vous le souhaitez, par exemple si vous voulez bloquer les ssh non autorisés, recherchez les lignes:
si "enabled" est défini sur "false", remplacez-le par "true" comme indiqué ici. Après avoir défini les règles, vous devez redémarrer le processus fail2ban:
Si vous avez ouvert le port 22 sur votre pare-feu ufw, fail2ban interdira les clients qui tentent de se connecter plus de 6 fois sans succès, cela ne cassera pas votre pare-feu.
la source
L’installation de 0.9.5 de fail2ban incluait une
ufw
action que je devais simplement définir pour lebanaction
la source