====== Reaction, alternative à Fail2ban ======
[[https://framagit.org/ppom/reaction/-/tree/main|Reaction]] (comme dans "action -> réaction") est un logiciel permettant de faire comme Fail2ban mais sans les défauts de ce dernier :
* Consomme moins
* Plus facile à customiser
* Carrément plus simple de faire des regex
Et autres qualités que l'auteur explique bien.
Faudra que je participe au [[https://reaction.ppom.me/intro/|wiki officiel]] mais en attendant je met mes idées en place ici.
J'utilise la syntaxe jsonnet, qui est la plus complète et lisible à mes yeux. Ma config se met dans ''/etc/reaction/server.jsonnet''
===== Commandes de base =====
Commandes:
* **''start''** : Démarre le démon Reaction
* ''reaction start [OPTIONS] --config ''
* Options possibles : ''-c'' (**Requis**), ''-l'', ''-s'', ''-h''
* Par exemple, pour un fichier ''reaction start -c /etc/reaction/server.jsonnet''
* Et un dossier : ''reaction start -c /etc/reaction/''
* Dans le cas des dossiers, les seuls fichiers du dossier qui seront lus automatiquement
* Doivent se terminer par les extensions ''.json'', ''.jsonnet'', ''.yml'' ou ''.yaml''.
* Ne doivent pas démarrer par ''.'' ou ''_''.
* **''show''** : Affiche les correspondances actuelles et les actions (= qui est banni)
* ''reaction show [OPTIONS] [NAME=PATTERN]''
* ''[NAME=PATTERN]'' : n'affiche que les éléments correspondant à name=PATTERN regex
* Options possibles : ''-s'', ''-f'', ''-l'', ''-h''
* **''flush''** : Retire une cible de Reaction (unban)
* ''reaction flush [OPTIONS] [NAME=PATTERN]''
* Options possibles : ''-s'', ''-f'', ''-l'', ''-h''
* Débannir quelqu'un : ''reaction flush IP''
* **''test-regex''** : Tester une regex
* reaction test-regex --config [LINE]
* Arguments:
* Regex to test
* [LINE] Line to be tested
* Options possibles : ''-c'' (**requis**), ''-h''
* **''test-config''** : Tester une configuration
* ''reaction test-config [OPTIONS] --config ''
* Options possibles : ''-c'' (**requis**), ''-f'', ''-v'', ''-h''
* **''help''**, ''-h'' : Affiche l'aide sur les commandes et sous-commandes
* **''-V''**, ''--version'' : Affiche la version de reaction
Pour les options possibles (suivant les commandes) :
* ''-c'', ''--config '' : Fichier de configuration en format json, jsonnet ou yaml ; ou dossier contenant ces fichers. Requis.
* ''-l'', ''--loglevel '' : Niveau de log minimum à afficher [default: INFO].
* ''-s'', ''--socket '' : chemin d'accès au socket de communication client-daemon [default: /run/reaction/reaction.sock].
* ''-h'', ''--help'' : Affiche l'aide.
* ''-f'', ''--format '' : comment formater la sortie [default: yaml] [valeurs possibles : json, yaml].
* ''-v'', ''--verbose'' : affiche plus d'infos en sortie.
==== Les plus fréquement utilisées ====
Voir qui est banni :
reaction show
Débannir quelqu'un :
reaction flush IP
Tester le dossier de configuration :
reaction test-config -c /etc/reaction
Démarrer (sans systemd) :
reaction start -c /etc/reaction/
==== Base de donnée ====
Par défaut les bases de données sont dans ''/var/lib/reaction/'' (''reaction-matches.db'' et ''reaction-flushes.db''). Les effacer remet tout à zéro.
Si on lance avec la commande dans le terminal, ces deux fichiers sont là où on lance la commande (je crois, j'ai un doute... en tout cas j'étais dans /etc/reaction et ils ont popés là).
===== Concepts =====
* Patterns : mots-clés utilisés ensuite au sein des expressions régulières pour "capturer" une info, typiquement les ip. Les types déjà renseignés : ipv4, ipv6, ip (qui inclue ipv4 et ipv6). On peut crée des patterns personnalisés en plus.
* Streams : équivalent des jails de fail2ban. On va par exemple déclarer "ssh" et indiquer où les logs doivent être lu et ce qui doit s'y appliquer.
* Filters : groupe d'expressions régulières à appliquer à un stream (par exemple, pour détecter les erreurs de connexion à ssh).
* Trigger : conditions, quand l'expression régulière est trouvée, à remplir pour passer à la suite. Typiquement, ''retry'' (nombre d'occurence) et ''retryperiod'' (période où ce nombre sera considéré comme "trop").
* Actions : ce qui est exécuté quand le filter est déclenché. Par exemple, bannir. Le cœur du logiciel !
* Start/Stop : commandes qui seront exécuté au démarrage et à l'arrête de Reaction, par exemple créer les tables dans nftables et les enlever.
La syntaxe est en jsonnet, ce qui permet d'écrire des variables et fonctions en plus.
===== Installation et lancement automatique =====
Pour l'installer, il y a un [[https://framagit.org/ppom/reaction/-/releases/|paquet debian]] mais pas dans les dépôts. Installer aussi Minisign pour vérifier l'intégrité. Ci-dessous en exemple mais [[https://framagit.org/ppom/reaction/-/releases|la page des releases]] donne les bons numéros de release (et les instructions)... J'utilise wget plutôt que curl, ce dernier ayant quelques soucis de sécurité (et puis wget est déjà de base sur mon serveur).
sudo apt install minisign
wget https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb
wget https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb.minisig
minisign -VP RWSpLTPfbvllNqRrXUgZzM7mFjLUA7PQioAItz80ag8uU4A2wtoT2DzX -m reaction_1.4.1-1_amd64.deb
rm reaction_1.4.1-1_amd64.deb.minisig
sudo apt install ./reaction_1.4.1-1_amd64.deb
rm reaction_1.4.1-1_amd64.deb
Ensuite on crée le ou les fichiers de config, et on les bidouillent. Voir plus bas la/les confs.
sudo mkdir /etc/reaction/
sudo nano /etc/reaction/server.jsonnet
==== Démarrage automatique ====
Avant de démarrer automatiquement le service, c'est pas mal de tester sa configuration en lançant seulement la ligne de démarrage dans le terminal, ce qui casse à la première erreur :
sudo reaction start -c /etc/reaction/server.jsonnet
On peut aussi vérifier la syntaxe avec :
sudo reaction test-config -c /etc/reaction
Avec la version 2 il y a un à présent un service systemd déjà fourni. Il se trouve sur /lib/systemd/system/reaction@.service.
Après installation et vérification, pour utiliser systemd :
sudo systemctl daemon-reload
sudo systemctl enable --now reaction@reaction
Ce qui suit après le @ est le chemin vers la configuration dans /etc/ ; comme je lui fais lire le dossier, c'est donc juste "reaction" pour "/etc/reaction".
Je laisse la vieille doc "pour mémoire" ci-dessous mais ce n'est plus forcément utile.
Je vais créer deux services : un pour Reaction proprement dit, un pour avertir en cas de plantage. Vu que j'ai eu des plantages muets, je lui dis de se relancer si ça lui arrive((Je précise que ça date des premières versions du logiciel, qui a bien évolué depuis.)) et sinon, j'ai une alerte.
[Unit]
Description=Reaction to ban bad ip
After=network.target
# Alerte si ça "fail"
OnFailure=reaction-alert.service
[Install]
WantedBy=multi-user.target
[Service]
ExecStart=/usr/bin/reaction start -c /etc/reaction/
StateDirectory=reaction
RuntimeDirectory=reaction
WorkingDirectory=/var/lib/reaction
Restart=on-failure
RestartSec=3
# Anti-flood de redémarrage en boucle
StartLimitIntervalSec=400
StartLimitBurst=3
[Unit]
Description=Envoie une alerte si Reaction plante
[Service]
Type=oneshot
ExecStart=/usr/local/bin/reaction-alert.sh
Et le script pour envoyer un mail (ça aurait pu être autre chose, mais j'aime bien les mails).
#!/bin/bash
LOCKFILE="/tmp/reaction-alert.lock"
# Délai en minutes, donc 3 h = 180
DELAY=180
# Si une alerte a déjà été envoyée il y a moins de $DELAY, on quitte
if [ -e "$LOCKFILE" ] && [ "$(find "$LOCKFILE" -mmin -lt $DELAY)" ]; then
logger -t reaction-alert "Notification de plantage de Reaction déjà envoyée récemment, aucune alerte renvoyée."
exit 0
fi
touch "$LOCKFILE"
SUBJECT="Reaction a planté sur $(hostname)"
TO="monemail@domaine.org"
BODY="Le service Reaction sur $(hostname) semble avoir un souci.
Arrêt à $(date).
"
echo "$BODY" | mail -s "$SUBJECT" "$TO"
logger -t reaction-alert "Alerte envoyée par mail à $TO pour le plantage de Reaction"
On démarre le service :
sudo systemctl enable reaction.service
sudo service reaction start
===== Configuration =====
Pour la doc complète, se référer à [[https://reaction.ppom.me/]]. Concernant ma configuration, je pars avec ces spécificités :
* Utilisation de nftables
* Découpage de la configuration par services (pour faciliter certaines automatisations)
* Analyse des ip bannies pour en déduire des plages et bannir ces dernières ?
* Rapport (journalier ?) sur les ip bannies (histoire de pouvoir suivre ce qui se passe et la charge) ?
Point côté syntaxe : dans les noms, on peut utiliser le tiret bas, mais pas de tiret classique, ça va faire des erreurs car jsonnet l'interprète... Donc "mon_filtre" est ok, pas "mon-filtre".
==== Découpage des fichiers ====
Il s'agit de me simplifier un peu la lecture et la maintenance. Sur l'exemple ici, j'ai 3 types de fichiers
* Définitions : ce qu'est l'action pour bannir/débannir, les périodes par défaut de bannissement... C'est le fichier ''_lib.jsonnet''.
* ''server.jsonnet'' qui contient les trucs de base : comment les ip sont formatées et ce qui se passe quand on démarre/arrête le service.
* Les fichiers de stream (''ssh.jsonnet'', ''web.jsonnet'', etc) qui vont lister, par service, quel fichier de log analyser et sur quelles regex on va bannir.
On paramètre évidement le lancement de Reaction (avec service ou direct en ligne de commande) pour lire tout le contenu du dossier (ici /etc/reaction).
=== server.jsonnet ===
Ici c'est assez classique, le seul point important étant que je tourne avec nftables. Il peut être utile de spécifier les ip à ne pas bannir avec Reaction, couplé avec un fichier [[pratique:informatique:parefeu:nftables|nftables]] complet (entre autre sur la vérification des ip locales), ça évite de se bannir son propre routeur ou en tant que sysadmin.
Sur un pare-feu, l'ordre des règles a une importance((Même si la façon dont ça s'applique est parfois complexe à comprendre.)), aussi j'ai préféré directement ajouter les bonnes instructions dans [[https://port.numenaute.org/zatalyz/zscript-sysadmin/src/branch/main/files/nftables/nftables.d|mes fichiers nftables]] :
set reaction_v4 {
type ipv4_addr
flags interval
}
set reaction_v6 {
type ipv6_addr
flags interval
}
chain input_all {
# Par défaut, on rejette tout à moins de suivre une des règles ci-dessous.
type filter hook input priority 0; policy drop;
# Vérifie si l'IP est bloquée (du plus long au plus court)
# ... Durablement
ip saddr @blocklist_v4 drop
ip6 saddr @blocklist_v6 drop
# ... Par Reaction
ip saddr @reaction_v4 drop
ip6 saddr @reaction_v6 drop
# Ou dans la liste temporaire
ip saddr @tempblock_v4 drop
ip6 saddr @tempblock_v6 drop
# [...]
}
De ce fait, je ne crée pas les sets à la volée au démarrage de Reaction (l'action ''start'' ne déclenche rien), et c'est déjà au bon endroit dans le bon tableau.
Les patterns des ip sont à présent dans le logiciel (depuis la version 2.0?) ce qui rend certaines déclarations plus rapides. Notons aussi l'apparition de la gestion des masques de sous-réseau.
{
patterns: {
ip: {
// IPv4 et IPv6, et masque des ipv6.
type: 'ip',
ipv6mask: 64,
ignore: [
// Ne pas bannir les ip des sysadmins et sur le local
// Ne pas oublier la virgule après chaque ip, pour l'énumération ;)
'127.0.0.1',
'::1',
// Sous-réseau d'une box
'192.168.1.0/24',
// Sous-réseau proxmox ?
//'10.0.0.0/8',
// Ip fixes de sysadmins et/ou des bastions à ajouter.
],
},
ipmask: {
// Uniquement utilisé pour les filtres les plus aggressifs, risque de trop ban sinon !
type: 'ip',
// ipv4 : 24 = tout le dernier bit, soit toute ip du type a.b.c.* (tout est dans le joker).
ipv4mask: 24,
// ipv6 : 48 = ban des datacenters. 56 est un peu moins excessif. 64 est une norme de particulier.
ipv6mask: 56,
ignore: [
'127.0.0.1',
'::1',
'192.168.1.0/24',
'82.65.53.240',
'2a01:e0a:26f:e650:aaa1:59ff:fe82:5187',
],
},
},
// nftables est directement paramétré avec des tables/sets pour Reaction, histoire que ce soit au bon endroit dans la chaine.
start: [],
// Je flush le set au stop, quand même. Car Reaction les renvoie au redémarrage ; évite les doublons.
stop: [
['nft', 'flush', 'set', 'inet', 'firewall', 'reaction_v4'],
['nft', 'flush', 'set', 'inet', 'firewall', 'reaction_v6'],
],
}
=== _lib.jsonnet : actions par défaut ===
Ce fichier sert à définir les actions telles que "banFor", qu'on configure évidement avec notre commande pour nftables((Cela m'a valu quelques erreurs en recopiant trop bêtement la doc officielle, qui est pour iptable...)).
On peut ainsi définir des actions par défaut : combien de temps on bannit, combien de lignes dans les logs avant de bannir, etc. Cela permet par exemple de définir pour tout le monde la même durée de bannissement et de la changer à un seul endroit si besoin.
Le fait que le fichier commence par "_" fait qu'il ne sera pas lu automatiquement au lancement de Reaction, il faudra l'appeler là où il est utile (dans les streams). Si on ne fais pas ça (s'il est noté "lib.jsonnet" par exemple), on aura l'erreur ''ERROR While reading ssh.jsonnet in /etc/reaction: variable is not defined: filter_default'' lors de l'execution.
Mon "banFor" a une subtilité : il attends qu'on déclare un temps (celui avant de débannir) ET une raison. Cette info peut être récupérée dans un log ou envoyé dans un mail, ou autre (cf le script plus bas).
Je n'utilise pas les outils "nft" fournis avec Reaction, au final la commande de base Unix fonctionne bien pour mes besoins.
local banFor(time, name) = {
ban_v4: {
cmd: ['nft', 'add', 'element', 'inet', 'firewall', 'reaction_v4', '{ }'],
ipv4only: true,
},
ban_v6: {
cmd: ['nft', 'add', 'element', 'inet', 'firewall', 'reaction_v6', '{ }'],
ipv6only: true,
},
unban_v4: {
after: time,
cmd: ['nft', 'delete', 'element', 'inet', 'firewall', 'reaction_v4', '{ }'],
ipv4only: true,
},
unban_v6: {
after: time,
cmd: ['nft', 'delete', 'element', 'inet', 'firewall', 'reaction_v6', '{ }'],
ipv6only: true,
},
log: {
cmd: ['/etc/reaction/_ban.sh', '', name],
oneshot: true,
},
};
// retry et retryperiod sont quand il y a plusieurs tentatives autorisées
// juste mettre le banFor sinon... Le ban sera alors à la première tentative.
// Filtre (et options) par défaut : ni trop doux, ni trop cruel.
local filter_default = {
retry: 3,
retryperiod: '1h',
actions: banFor('48h', 'ban par défaut'),
};
// Filtre doux : c'est peut-être légitime. Et peut-être pas. Ça délaye les attaques.
local filter_soft = {
retry: 6,
retryperiod: '1h',
actions: banFor('30s', 'ban temporaire'),
};
// Filtre violent : un seul essai, banni un mois.
local filter_hard = {
actions: banFor('720h', 'banni un mois'),
};
// Exposer les définitions précédentes pour qu'elles soient accessibles depuis un autre fichier Jsonnet
{
banFor: banFor,
filter_default: filter_default,
filter_soft: filter_soft,
filter_hard: filter_hard,
}
== Script bash de log, notif, etc ==
Un script très basique pour "loguer" les adresses bannis, avec la raison, appelé par l'action "banFor". Je compte me servir de ce genre de log pour alimenter par la suite :
* les ips bloquées en longue durée (celles qui reviennent plusieurs fois via les filtres doux et par défaut : 6 fois c'est peut-être une erreur, 12 c'est de la maladresse, 24 c'est de l'acharnement...),
* les ips en bloc (ipmask). Ce n'est pas du tout paramétré pour le moment !
Le format actuel de mon log n'est sans doute pas parfait pour ça, mais s'améliorera au fil des tests.
#!/bin/bash
# Envoi d'un mail ou notif ou ce qu'on veut
# Log des ip
echo "$1 banni car $2 // Date : $(date)" >> /var/log/reaction_ban.log
=== Streams ===
Je met ici une config très basique pour ssh (voir [[https://port.numenaute.org/zatalyz/zscript-sysadmin/src/branch/main/files/reaction|la forge]] pour plus de filtres), suffisante pour lister les "pièges" dans la syntaxe.
[[https://www.sshguard.net/|SSHguard]]((Empaqueté sur Debian)) est souvent plus adapté pour la protection de SSH, car il bannit sur des durées de plus en plus longues. Donc attention à ne pas gêner son fonctionnement avec Reaction. Ce qui n'empêche pas d'ajouter quelques pains bien violents à certains attaquants. Personnellement je n'ai aucune pitié avec ceux qui tentent de se connecter en root, et un banissement d'un mois est presque tendre ; je ne vois pas l'intérêt de les laisser essayer deux fois de suite. Aucun sysadmin suivant les bonnes pratiques ne pourrait faire l'erreur de tenter de se connecter en root.
local lib = import '_lib.jsonnet';
{
streams: {
ssh: {
cmd: ['journalctl', '-fn0', '-u', 'sshd.service'],
filters: {
badssh: lib.filter_default + {
regex: [
@'User root from not allowed because not listed in AllowUsers',
],
// ce filtre est peu pertinent avec sshguard et va le ralentir dans sa lutte contre les méchants.
failedlogin: {
regex: [
@'authentication failure;.*rhost=',
@'Connection reset by authenticating user .* ',
@'Failed password for .* from ',
],
retry: 3,
retryperiod: '6h',
actions: lib.banFor('48h', 'SSH: login échoué'),
},
},
},
},
}
* ''local lib = import '_lib.jsonnet';'' => il est nécessaire d'appeler le fichier avec les définitions pour la suite, et on fait une variable pour les appels la concernant (''lib'').
* ''cmd: ['journalctl', '-fn0', '-u', 'sshd.service']'' => indique quel fichier de log lire.
* ''lib.filter_default'' et ''lib.banFor'' : on utilise les actions ''banFor'' et ''filter_default'' mais comme elles sont dans le fichier ''_lib.jsonnet'', on appelle la variable définie avant (''lib''). Sinon, ben... ça marche pas.
Concernant l'appel des diverses fonctions, il y a plein de petites subtilités. Par exemple, si on veut appliquer les actions par défaut (même durée de ban, même valeurs pour retry, retryperiod) mais déclarer une action complémentaire comme "stream_name", alors on fait ceci :
[...]
apache_auth: lib.filter_default + {
regex: [
@'^.*client .* regex',
],
actions: lib.filter_default.actions + lib.stream_name('apache_auth'),
},
[...]
Ici ''lib.filter_default.actions'' précise qu'il faut appliquer les actions par défaut de "filter_default". ''+ lib.stream_name('apache_auth')'' permet d'ajouter l'action stream_name (qui permet de loguer pour "quoi" on a banni), en précisant une raison personnalisée donc. Il faut quand même déclarer ''lib.filter_default'' au niveau du stream (après "apache_auth" dans l'exemple), afin que les paramètres "retry" et "retryperiod" s'appliquent sur le stream.
==== Réaliser des actions plus compliqués ====
Ce qui suit est plus pour retrouver comment faire au besoin, mais la configuration précédente (log, sans mail en plus, intégré à banFor) me semble suffisante en général.
Lorsqu'il y a bannissement via Reaction, j'aimerais pouvoir réaliser certaines actions, comme être avertie par mail.
Bon, en vrai, ça dépend. Sur certains services, la surveillance via des mails, au début, permet d'affiner les règles et éviter les faux positifs. Ensuite, ça fait surtout du bruit. Il devient alors plus utile de loguer les ip bannies, et de vérifier s'il y a des schémas : même plages d'ip par exemple. Ou ip qui continuent d'être bannies mois après mois.
Bref, tout ça va se faire via notre fichier _lib.jsonnet, avec des actions diverses.
=== Lancer un script ===
Si on veut bannir ET réaliser une action autre dans la foulée (par exemple envoyer un mail), le plus simple sera finalement de faire un script de ce type :
#!/bin/bash
# Bannissement
nft46 add element inet reaction ipvXbans { "$1" }
# Envoi d'un mail
# cf le script plus bas...
On modifie alors _lib.jsonnet sur la partie cmd :
local banFor(time) = {
ban: {
cmd: ['nft46', 'add element inet reaction ipvXbans { }'],
}
devient
local banFor(time) = {
ban: {
cmd: ['sh', '-c', '/etc/reaction/_ban.sh '],
}
Ce qui autorise toutes les fantaisies.
=== Action : envoi de mail ===
On peut aussi déclarer une action spéciale pour l'envoi de mail, ce qui permet de l'appeler dans les streams et de personnaliser le message en rapport avec le filtre déclenché.
Le script suivant prend deux variables : ''ip'' (l'ip bannie) et ''rule'' (la raison du bannissement).
local sendmail(ip,rule) = {
mail: {
cmd: ['sh', '/etc/reaction/_mail.sh', ip, rule],
},
};
Le script :
#!/bin/bash
# Envoyer un mail
dossiermail="/root/scripts/sendmailreaction"
titremail="$1 banni"
# Création du fichier du corps du mail dans un fichier temporaire qui évite toute collision
corpmail="$(mktemp -p $dossiermail)"
listeip="/var/lib/reaction/reaction-matches.db"
# Vérifier si l'adresse a déjà été banni pour éviter de flooder lorsqu'on relance
if grep -q $1 $listeip; then
exit
else
# Message pour le corps du mail
echo "Méchant $1 ! $2 \n \n" >> $corpmail
# Ajouter les logs pour les détails
journalctl --since yesterday | grep $1 >> $corpmail
#Envoyer le mail
cat $corpmail | mail -s "$titremail" root
# Effacer le corps du crime pour éviter d'encombrer sans intérêt
rm $corpmail
fi
Penser évidement à créer le dossier ''/root/scripts/sendmailreaction/'' avant de lancer le reste.
Dans les streams (en ayant des fichiers modulaires), comment dire qu'il faut envoyer un mail (exemple sur ssh) :
streams: {
ssh: {
cmd: ['journalctl', '-fn0', '-u', 'ssh.service'],
filters: {
failedlogin: {
regex: [
@'authentication failure;.*rhost=',
@'Connection reset by authenticating user .* ',
@'Failed password for .* from ',
],
retry: 6,
retryperiod: '6h',
actions: lib.banFor('48h') + lib.sendmail('','"Banni 48h pour tentative de co à SSH"'),
},
},
},
{{tag>fail2ban sysadmin iptable nftables}}
[[https://creativecommons.org/publicdomain/zero/1.0/deed.fr|{{ https://liev.re/imagesweb/licences/cc-zero.png?100 | Ce texte est placé sous licence CC0}}]]