fail2ban

Sysadmin

Sysadmin

L’administration sur systèmes Linux.

Surcharge serveur due à fail2ban

J’utilise depuis pas mal de temps fail2ban sur l’ensemble de mes serveurs. Il me sert à contrôler un peu ce qui s’y passe et à bannir les IPs trop curieuses. Depuis quelques semaines, sur mon NAS, j’observais une charge élevée sans réelle raison. Après un peu d’analyse, il se trouve que le fautif est fail2ban-cli, qui me sert à contrôler l’activité, et qui chez moi est appelé par telegraf. Après enquête, il apparait que : Ma « jail » ssh contient plus de 12.000 IPs… Ce qui est étrange, car mon serveur est depuis quelque temps d’arrière un VPN. Vue dans Grafana. Lors de chaque appel de fail2ban-cli par telegraf, il y a un pic de…

Linux

Linux

Linux au jour le jour…

Les Dedibox seraient elles plus victimes d’attaques ?

Que ce soit professionnel ou personnel : je gère, à la louche, un parc de 15 serveurs dédiés. Si je mets de côté les serveurs sous Windows qui sont à eux seuls, à la fois une aberration et une faille de sécurité; je dois m’occuper d’une bonne dizaine de serveurs Linux. Ces serveurs sont variés et tournent sous des Debian Sarge et Etch, des CentOS 5 ou Fedora 5. On peut localiser ce parc par 8 serveurs chez Ikoula et 2 Dedibox. Après avoir décrit le parc, je vais décrire mes habitudes. Comme je suis…

Sysadmin

Sysadmin

L’administration sur systèmes Linux.

fail2ban et l’erreur « Please check the format and your locale settings. »

J’avais déjà parlé de fail2ban dans un précédent billet, hors depuis quelque temps, je ne reçoit plus de mail d’alerte de la part de ce scripts… Arrêterait-on de forcer les accès SSH de Borsalino ? C’est donc en contrôlant les logs (/etc/log/fail2ban.log), que je tombe sur près de 45.000 entrées. root@borsalino ~> wc -l /var/log/fail2ban.log 45 751 /var/log/fail2ban.log Un petit cat et je me rends compte d’une ligne récurant : ERROR: time data did not…

Sysadmin

Sysadmin

L’administration sur systèmes Linux.

Protéger les accès SSH avec fail2ban

Après l’attaque de ce week-end et après une lecture des logs d’accès ssh, je me suis décidé à mettre en place une gestion automatique des bannissements d’IPs. L’idée est simple : bannir les IPs qui tentent de passer le compte root en « Brut de force« . Il est évident que l’accès root n’est pas autorisé en ssh (PermitRootLogin no) tout comme les mots de passe (PasswordAuthentication no), et que de telles attaques ne peuvent pas aboutir, mais c’est pour le principe ;-). root@borsalino ~> cat /var/log/secure.1 | grep "Failed password for root" --count 1812 Sur les conseils de Titax, je me suis penché sur fail2ban, mais à la différence de la méthode proposée par Thierry, j’ai préféré…