Alinea

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
pratique:informatique:parefeu:reaction [15/06/2026 08:21] – [Découpage des fichiers] Zatalyzpratique:informatique:parefeu:reaction [16/06/2026 12:25] (Version actuelle) Zatalyz
Ligne 523: Ligne 523:
     },     },
 </code> </code>
 +
 +===== Transformer les règles de fail2ban =====
 +Ça c'est du chantier...
 +
 +Quand on a fail2ban installé, retrouver les regex est un sacré bazar. Il n'y a pas de solution "immédiatement fonctionnelle". Mais deux commandes utiles.
 +
 +  fail2ban-client -d
 +Celle-ci va lister toutes les règles actives, dans un format permettant de voir quel fichier de log est surveillé et divers détails. C'est assez verbeux, mais utile.
 +
 +  fail2ban-client get JAIL failregex
 +Remplacer "JAIL" par le nom de la jail ; ne liste que les regex dans un format relativement lisible (enfin, ça reste des regex). On remarque cependant que la partie "<HOST>" n'est pas renseigné, c'est ballot hein ? Suivant les jail, cette variable qui capture l'ip de l'attaquant est soit dans un préfixe (à trouver...) soit sous un format décompressé. 
 +
 +Jails que je tente d'analyser et recopier : 
 +  * Apache, error.log
 +    * ''apache-auth'' : la plupart des règles semblent utiles. Pas forcément un ban trop violent au premier abord.
 +    * ''apache-botsearch'' : c'est surtout le scan de pages à attaquer ; déjà mis dans mes filtres Reaction et aucune pitié avec ça, mais on note que là c'est la version pour "error" et non "access" donc pas les mêmes ?
 +    * ''apache-modsecurity'' : faut que je creuse plus, ça semble relié à un mod apache que je ne gère pas.
 +    * ''apache-nohome'' : alors, là, lui, je ne sais pas ce qu'il vise...
 +    * ''apache-noscript'' : peu de règles, lisibles et très importantes car en effet les badbots les cherchent !
 +    * ''apache-overflows'' : à analyser plus finement, car sans doute qu'il y a des histoires de "retry" pour que ce soit pertinent.
 +    * ''apache-shellshock'' : j'sais pô.
 +  * Apache access.log
 +    * ''apache-badbots'' : me semble assez douteuse. Ça ban d'après les users agent, mais ce qui est cherché est plein de vieux trucs. Après, ça peut éviter que les bots indexent trop, trop vite, ou de se faire aspirer le site. Mais j'aurais tendance à plutôt mettre des limiteurs de vitesse ?
 +      * Notons cependant qu'on a des badbots repérables aux user-agents et que les ban peut réduire le trafic simplement.
 +    * ''apache-fakegooglebot'' : celle-ci semble sacrément foireuse ?
 +
 +Autres services, où en théorie on va tout reprendre (plus les notres) :
 +
 +  * postfix
 +  * dovecot
 +  * sieve
 +  * sshd
  
 {{tag>fail2ban sysadmin iptable nftables}} {{tag>fail2ban sysadmin iptable nftables}}
CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki 🏳️‍🌈 Symboles inclusifs et politiques
pratique/informatique/parefeu/reaction.txt · Dernière modification : 16/06/2026 12:25 de Zatalyz