Fail2ban

# yum update

Cela ne suffira pas si un hacker souhaite réellement prendre le contrôle de votre serveur, il existe toute sorte d’attaque qu’il faut contrer avec des scripts ou modules. Une des attaques les plus connu est Brute Force SSH, elle permet de faire une attaque sur le port SSH de votre serveur. Pour cela le pirate va exécuter un programme à distance de type hydra, medusa… qui contient plusieurs dictionnaires d’identifiant et de mot de passe afin d’essayer de se connecter en ssh sur votre serveur et en prendre le contrôle.

Pour sécurisé votre serveur je vous conseille d’installer Fail2Ban.

# yum install fail2ban

ou

# wget pkgs.repoforge.org/fail2ban/fail2ban-0.8.2-3.el5.rf.noarch.rpm

# yum install gamin-python

# yum install iptables

# rpm -Uvh fail2ban-0.8.2-3.el5.rf.noarch.rpm

ou

Obtenez les fichiers :

# wget http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download

Extrayez-les

# tar -xf fail2ban-0.8.4.tar.bz2

# cd fail2ban-0.8.4

# python setup.py install

# cp files/redhat-initd /etc/init.d/fail2ban

# chkconfig --add fail2ban

# chkconfig fail2ban on

Configuration de Fail2Ban

Créé un filtre Fail2Ban :

# vi /etc/fail2ban/filter.d/fail2ban-recidivist.conf

[Definition]
failregex = fail2ban.actions: WARNING \[(.*)\] Ban <HOST>
ignoreregex = fail2ban.actions: WARNING \[fail2ban-recidivist\] Ban <HOST>

# vi /etc/fail2ban/jail.conf

Ajout en fin de fichier :

[fail2ban-recidivist]
enabled  = true
filter   = fail2ban-recidivist
action   = iptables-allports[name=recidivist]
logpath  = /var/log/messages
maxretry = 5
# 1 semaine
findtime = 604800
# 1 semaine
bantime  = 604800

Ajout le ip a ignorer dans [DEFAULT]

ignoreip = 127.0.0.1 192.168.1.0/24 ….