Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:parefeu:reaction [11/06/2025 10:37] – on continue les maj, mais c'est pas fini. Zatalyz
+++ pratique:informatique:parefeu:reaction [16/06/2026 12:25] (Version actuelle) – Zatalyz
@@ Ligne 7: / Ligne 7: @@
 Et autres qualités que l'auteur explique bien.
-Faudra que je participe au wiki officiel mais en attendant je met mes idées en place ici.
+Faudra que je participe au [[https://reaction.ppom.me/intro/|wiki officiel]] mais en attendant je met mes idées en place ici.
 <WRAP center round tip 60%>
@@ Ligne 51: / Ligne 51: @@
   * ''-v'', ''--verbose'' : affiche plus d'infos en sortie.
+==== Les plus fréquement utilisées ====
+Voir qui est banni :
+  reaction show
+Débannir quelqu'un :
+  reaction flush IP
+Tester le dossier de configuration :
+  reaction test-config -c /etc/reaction
+Démarrer (sans systemd) :
+  reaction start -c /etc/reaction/
+==== Base de donnée ====
 Par défaut les bases de données sont dans ''/var/lib/reaction/'' (''reaction-matches.db'' et ''reaction-flushes.db''). Les effacer remet tout à zéro.
+Si on lance avec la commande dans le terminal, ces deux fichiers sont là où on lance la commande (je crois, j'ai un doute... en tout cas j'étais dans /etc/reaction et ils ont popés là).
+===== Concepts =====
+  * Patterns : mots-clés utilisés ensuite au sein des expressions régulières pour "capturer" une info, typiquement les ip. Les types déjà renseignés : ipv4, ipv6, ip (qui inclue ipv4 et ipv6). On peut crée des patterns personnalisés en plus.
+  * Streams : équivalent des jails de fail2ban. On va par exemple déclarer "ssh" et indiquer où les logs doivent être lu et ce qui doit s'y appliquer.
+  * Filters : groupe d'expressions régulières à appliquer à un stream (par exemple, pour détecter les erreurs de connexion à ssh).
+  * Trigger : conditions, quand l'expression régulière est trouvée, à remplir pour passer à la suite. Typiquement, ''retry'' (nombre d'occurence) et ''retryperiod'' (période où ce nombre sera considéré comme "trop").
+  * Actions : ce qui est exécuté quand le filter est déclenché. Par exemple, bannir. Le cœur du logiciel !
+  * Start/Stop : commandes qui seront exécuté au démarrage et à l'arrête de Reaction, par exemple créer les tables dans nftables et les enlever.
+La syntaxe est en jsonnet, ce qui permet d'écrire des variables et fonctions en plus.
 ===== Installation et lancement automatique =====
-Pour l'installer, il y a un [[https://framagit.org/ppom/reaction/-/releases/|paquet debian]] mais pas dans les dépôts. Installer aussi Minisign pour vérifier l'intégrité. Ci-dessous en exemple mais la page des releases donne les bons numéros de release (et les instructions)... J'utilise wget plutôt que curl, ce dernier ayant quelques soucis de sécurité (et puis wget est déjà de base sur mon serveur).
+Pour l'installer, il y a un [[https://framagit.org/ppom/reaction/-/releases/|paquet debian]] mais pas dans les dépôts. Installer aussi Minisign pour vérifier l'intégrité. Ci-dessous en exemple mais [[https://framagit.org/ppom/reaction/-/releases|la page des releases]] donne les bons numéros de release (et les instructions)... J'utilise wget plutôt que curl, ce dernier ayant quelques soucis de sécurité (et puis wget est déjà de base sur mon serveur).
 <code>sudo apt install minisign
-wget https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb \
+wget https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb
-     https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb.minisig
+wget https://static.ppom.me/reaction/releases/v1.4.1/reaction_1.4.1-1_amd64.deb.minisig
-minisign -VP RWSpLTPfbvllNqRrXUgZzM7mFjLUA7PQioAItz80ag8uU4A2wtoT2DzX -m reaction_1.4.1-1_amd64.deb &&
+minisign -VP RWSpLTPfbvllNqRrXUgZzM7mFjLUA7PQioAItz80ag8uU4A2wtoT2DzX -m reaction_1.4.1-1_amd64.deb
-  rm reaction_1.4.1-1_amd64.deb.minisig &&
+rm reaction_1.4.1-1_amd64.deb.minisig
-  sudo apt install ./reaction_1.4.1-1_amd64.deb
+sudo apt install ./reaction_1.4.1-1_amd64.deb
+rm reaction_1.4.1-1_amd64.deb
 </code>
 Ensuite on crée le ou les fichiers de config, et on les bidouillent. Voir plus bas la/les confs.
   sudo mkdir /etc/reaction/
-  sudo nano /etc/reaction/reaction.jsonnet
+  sudo nano /etc/reaction/server.jsonnet
 ==== Démarrage automatique ====
@@ Ligne 79: / Ligne 108: @@
 </WRAP>
-On va créer un service :
+Avec la version 2 il y a un à présent un service systemd déjà fourni. Il se trouve sur /lib/systemd/system/reaction@.service.
-  sudo nano /etc/systemd/system/reaction.service
+Après installation et vérification, pour utiliser systemd :
+<code>sudo systemctl daemon-reload
+sudo systemctl enable --now reaction@reaction
+</code>
+Ce qui suit après le @ est le chemin vers la configuration dans /etc/ ; comme je lui fais lire le dossier, c'est donc juste "reaction" pour "/etc/reaction".
+<WRAP center round alert 100%>
+<WRAP center round info 100%>
+Je laisse la vieille doc "pour mémoire" ci-dessous mais ce n'est plus forcément utile.
+</WRAP>
+Je vais créer deux services : un pour Reaction proprement dit, un pour avertir en cas de plantage. Vu que j'ai eu des plantages muets, je lui dis de se relancer si ça lui arrive((Je précise que ça date des premières versions du logiciel, qui a bien évolué depuis.)) et sinon, j'ai une alerte.
+<code bash /etc/systemd/system/reaction.service>
+[Unit]
+Description=Reaction to ban bad ip
+After=network.target
+# Alerte si ça "fail"
+OnFailure=reaction-alert.service
-<code>
 [Install]
 WantedBy=multi-user.target
 [Service]
 ExecStart=/usr/bin/reaction start -c /etc/reaction/
 StateDirectory=reaction
 RuntimeDirectory=reaction
 WorkingDirectory=/var/lib/reaction
 Restart=on-failure
 RestartSec=3
+# Anti-flood de redémarrage en boucle
+StartLimitIntervalSec=400
+StartLimitBurst=3
 </code>
-Vu que j'ai eu des plantages muets, je lui dis de se relancer si ça lui arrive((Je précise que ça date des premières versions du logiciel, qui a bien évolué depuis)). <wrap todo>Ce serait bien d'être averti quand ça plante, ceci dit</wrap>
+<code bash /etc/systemd/system/reaction-alert.service>
+[Unit]
+Description=Envoie une alerte si Reaction plante
+[Service]
+Type=oneshot
+ExecStart=/usr/local/bin/reaction-alert.sh
+</code>
+Et le script pour envoyer un mail (ça aurait pu être autre chose, mais j'aime bien les mails).
+<code>
+#!/bin/bash
+LOCKFILE="/tmp/reaction-alert.lock"
+# Délai en minutes, donc 3 h = 180
+DELAY=180
+# Si une alerte a déjà été envoyée il y a moins de $DELAY, on quitte
+if [ -e "$LOCKFILE" ] && [ "$(find "$LOCKFILE" -mmin -lt $DELAY)" ]; then
+    logger -t reaction-alert "Notification de plantage de Reaction déjà envoyée récemment, aucune alerte renvoyée."
+    exit 0
+fi
+touch "$LOCKFILE"
+SUBJECT="Reaction a planté sur $(hostname)"
+TO="monemail@domaine.org"
+BODY="Le service Reaction sur $(hostname) semble avoir un souci.
+Arrêt à $(date).
+"
+echo "$BODY" | mail -s "$SUBJECT" "$TO"
+logger -t reaction-alert "Alerte envoyée par mail à $TO pour le plantage de Reaction"
+</code>
 On démarre le service :
 <code>sudo systemctl enable reaction.service
 sudo service reaction start</code>
+</WRAP>
 ===== Configuration =====
@@ Ligne 107: / Ligne 199: @@
   * Rapport (journalier ?) sur les ip bannies (histoire de pouvoir suivre ce qui se passe et la charge) ?
+Point côté syntaxe : dans les noms, on peut utiliser le tiret bas, mais pas de tiret classique, ça va faire des erreurs car jsonnet l'interprète... Donc "mon_filtre" est ok, pas "mon-filtre".
 ==== Découpage des fichiers ====
 Il s'agit de me simplifier un peu la lecture et la maintenance. Sur l'exemple ici, j'ai 3 types de fichiers
@@ Ligne 117: / Ligne 210: @@
 === server.jsonnet ===
 Ici c'est assez classique, le seul point important étant que je tourne avec nftables. Il peut être utile de spécifier les ip à ne pas bannir avec Reaction, couplé avec un fichier [[pratique:informatique:parefeu:nftables|nftables]] complet (entre autre sur la vérification des ip locales), ça évite de se bannir son propre routeur ou en tant que sysadmin.
+Sur un pare-feu, l'ordre des règles a une importance((Même si la façon dont ça s'applique est parfois complexe à comprendre.)), aussi j'ai préféré directement ajouter les bonnes instructions dans [[https://port.numenaute.org/zatalyz/zscript-sysadmin/src/branch/main/files/nftables/nftables.d|mes fichiers nftables]] :
+<code bash nftables.conf_ou_autre>
+set reaction_v4 {
+    type ipv4_addr
+    flags interval
+}
+set reaction_v6 {
+    type ipv6_addr
+    flags interval
+}
+chain input_all {
+	# Par défaut, on rejette tout à moins de suivre une des règles ci-dessous.
+	type filter hook input priority 0; policy drop;
+	# Vérifie si l'IP est bloquée (du plus long au plus court)
+	# ... Durablement
+	ip saddr @blocklist_v4 drop
+	ip6 saddr @blocklist_v6 drop
+	# ... Par Reaction
+	ip saddr @reaction_v4 drop
+	ip6 saddr @reaction_v6 drop
+	# Ou dans la liste temporaire
+	ip saddr @tempblock_v4 drop
+	ip6 saddr @tempblock_v6 drop
+# [...]
+}
+</code>
+De ce fait, je ne crée pas les sets à la volée au démarrage de Reaction (l'action ''start'' ne déclenche rien), et c'est déjà au bon endroit dans le bon tableau.
+Les patterns des ip sont à présent dans le logiciel (depuis la version 2.0?) ce qui rend certaines déclarations plus rapides. Notons aussi l'apparition de la gestion des masques de sous-réseau.
 <code json server.jsonnet>
@@ Ligne 122: / Ligne 248: @@
   patterns: {
     ip: {
-    // Both IPv4 and IPv6, do not accept malformed IPs
+    // IPv4 et IPv6, et masque des ipv6.
-      regex: @'(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(?:\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)){3}|(?:(?:[0-9a-fA-F]{1,4}:){7,7}[0-9a-fA-F]{1,4}|(?:[0-9a-fA-F]{1,4}:){1,7}:|(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}|(?:[0-9a-fA-F]{1,4}:){1,5}(?::[0-9a-fA-F]{1,4}){1,2}|(?:[0-9a-fA-F]{1,4}:){1,4}(?::[0-9a-fA-F]{1,4}){1,3}|(?:[0-9a-fA-F]{1,4}:){1,3}(?::[0-9a-fA-F]{1,4}){1,4}|(?:[0-9a-fA-F]{1,4}:){1,2}(?::[0-9a-fA-F]{1,4}){1,5}|[0-9a-fA-F]{1,4}:(?:(?::[0-9a-fA-F]{1,4}){1,6})|:(?:(?::[0-9a-fA-F]{1,4}){1,7}|:)|fe80:(?::[0-9a-fA-F]{0,4}){0,4}%[0-9a-zA-Z]{1,}|::(?:ffff(?::0{1,4}){0,1}:){0,1}(?:(?:25[0-5]|(?:2[0-4]|1{0,1}[0-9]){0,1}[0-9])\.){3,3}(?:25[0-5]|(?:2[0-4]|1{0,1}[0-9]){0,1}[0-9])|(?:[0-9a-fA-F]{1,4}:){1,4}:(?:(?:25[0-5]|(?:2[0-4]|1{0,1}[0-9]){0,1}[0-9])\.){3,3}(?:25[0-5]|(?:2[0-4]|1{0,1}[0-9]){0,1}[0-9]))',
+      type: 'ip',
+      ipv6mask: 64,
       ignore: [
+        // Ne pas bannir les ip des sysadmins et sur le local
         // Ne pas oublier la virgule après chaque ip, pour l'énumération ;)
         '127.0.0.1',
         '::1',
         // Sous-réseau d'une box
-        '192.168.1.0/24'
+        '192.168.1.0/24',
         // Sous-réseau proxmox ?
-        //'10.0.0.0/8'
+        //'10.0.0.0/8',
-        // Ip fixes de sysadmins
+        // Ip fixes de sysadmins et/ou des bastions à ajouter.
-        // ip de bastion
+      ],
+    },
+    ipmask: {
+      // Uniquement utilisé pour les filtres les plus aggressifs, risque de trop ban sinon !
+      type: 'ip',
+      // ipv4 : 24 = tout le dernier bit, soit toute ip du type a.b.c.* (tout est dans le joker).
+      ipv4mask: 24,
+      // ipv6 : 48 = ban des datacenters. 56 est un peu moins excessif. 64 est une norme de particulier.
+      ipv6mask: 56,
+      ignore: [
+        '127.0.0.1',
+        '::1',
+        '192.168.1.0/24',
+        '82.65.53.240',
+        '2a01:e0a:26f:e650:aaa1:59ff:fe82:5187',
       ],
     },
   },
-  start: [
+// nftables est directement paramétré avec des tables/sets pour Reaction, histoire que ce soit au bon endroit dans la chaine.
-    ['nft', |||
+  start: [],
-    table inet reaction {
+  // Je flush le set au stop, quand même. Car Reaction les renvoie au redémarrage ; évite les doublons.
-      set ipv4bans {
-        type ipv4_addr
-        flags interval
-        auto-merge
-      }
-      set ipv6bans {
-        type ipv6_addr
-        flags interval
-        auto-merge
-      }
-      chain input {
-        type filter hook input priority 0
-        policy accept
-        ip saddr @ipv4bans drop
-        ip6 saddr @ipv6bans drop
-      }
-    }
-||| ],
-  ],
   stop: [
-    ['nft', 'delete table inet reaction'],
+    ['nft', 'flush', 'set', 'inet', 'firewall', 'reaction_v4'],
+    ['nft', 'flush', 'set', 'inet', 'firewall', 'reaction_v6'],
   ],
 }
@@ Ligne 172: / Ligne 296: @@
 On peut ainsi définir des actions par défaut : combien de temps on bannit, combien de lignes dans les logs avant de bannir, etc. Cela permet par exemple de définir pour tout le monde la même durée de bannissement et de la changer à un seul endroit si besoin.
-Le fait que le fichier commence par "_" fait qu'il ne sera pas lu automatiquement au lancement de Reaction, il faudra l'appeler là où il est utile (dans les streams). Si on ne fais pas ça (s'il est noté "lib.jsonnet" par exemple), on aura l'erreur "ERROR While reading ssh.jsonnet in /etc/reaction: variable is not defined: filter_default" lors de l'execution.
+Le fait que le fichier commence par "_" fait qu'il ne sera pas lu automatiquement au lancement de Reaction, il faudra l'appeler là où il est utile (dans les streams). Si on ne fais pas ça (s'il est noté "lib.jsonnet" par exemple), on aura l'erreur ''ERROR While reading ssh.jsonnet in /etc/reaction: variable is not defined: filter_default'' lors de l'execution.
+Mon "banFor" a une subtilité : il attends qu'on déclare un temps (celui avant de débannir) ET une raison. Cette info peut être récupérée dans un log ou envoyé dans un mail, ou autre (cf le script plus bas).
+Je n'utilise pas les outils "nft" fournis avec Reaction, au final la commande de base Unix fonctionne bien pour mes besoins.
 <code json _lib.jsonnet>
-local banFor(time) = {
+local banFor(time, name) = {
-  ban: {
+    ban_v4: {
-    cmd: ['nft46', 'add element inet reaction ipvXbans { <ip> }'],
+        cmd: ['nft', 'add', 'element', 'inet', 'firewall', 'reaction_v4', '{ <ip> }'],
-  },
+        ipv4only: true,
-  unban: {
+    },
-    cmd: ['nft46', 'delete element inet reaction ipvXbans { <ip> }'],
+    ban_v6: {
-    after: time,
+        cmd: ['nft', 'add', 'element', 'inet', 'firewall', 'reaction_v6', '{ <ip> }'],
-  },
+        ipv6only: true,
+    },
+    unban_v4: {
+        after: time,
+        cmd: ['nft', 'delete', 'element', 'inet', 'firewall', 'reaction_v4', '{ <ip> }'],
+        ipv4only: true,
+    },
+    unban_v6: {
+        after: time,
+        cmd: ['nft', 'delete', 'element', 'inet', 'firewall', 'reaction_v6', '{ <ip> }'],
+        ipv6only: true,
+    },
+    log: {
+        cmd: ['/etc/reaction/_ban.sh', '<ip>', name],
+        oneshot: true,
+    },
 };
+// retry et retryperiod sont quand il y a plusieurs tentatives autorisées
+// juste mettre le banFor sinon... Le ban sera alors à la première tentative.
+// Filtre (et options) par défaut : ni trop doux, ni trop cruel.
 local filter_default = {
   retry: 3,
-  retryperiod: '3h',
+  retryperiod: '1h',
-  actions: banFor('24h'),
+  actions: banFor('48h', 'ban par défaut'),
 };
+// Filtre doux : c'est peut-être légitime. Et peut-être pas. Ça délaye les attaques.
+local filter_soft = {
+  retry: 6,
+  retryperiod: '1h',
+  actions: banFor('30s', 'ban temporaire'),
+};
+// Filtre violent : un seul essai, banni un mois.
+local filter_hard = {
+  actions: banFor('720h', 'banni un mois'),
+};
+// Exposer les définitions précédentes pour qu'elles soient accessibles depuis un autre fichier Jsonnet
 {
   banFor: banFor,
   filter_default: filter_default,
+  filter_soft: filter_soft,
+  filter_hard: filter_hard,
 }
 </code>
+== Script bash de log, notif, etc ==
+Un script très basique pour "loguer" les adresses bannis, avec la raison, appelé par l'action "banFor". Je compte me servir de ce genre de log pour alimenter par la suite :
+  * les ips bloquées en longue durée (celles qui reviennent plusieurs fois via les filtres doux et par défaut : 6 fois c'est peut-être une erreur, 12 c'est de la maladresse, 24 c'est de l'acharnement...),
+  * les ips en bloc (ipmask). Ce n'est pas du tout paramétré pour le moment !
+Le format actuel de mon log n'est sans doute pas parfait pour ça, mais s'améliorera au fil des tests.
+<code bash _ban.sh>
+#!/bin/bash
+# Envoi d'un mail ou notif ou ce qu'on veut
+# Log des ip
+echo "$1 banni car $2 // Date : $(date)" >> /var/log/reaction_ban.log
+</code>
 === Streams ===
-Je met ici une config très basique pour ssh (<wrap todo>Faudra que je mette le tout sur une forge, une fois fini...</wrap>), suffisante pour lister les "pièges" dans la syntaxe.
+Je met ici une config très basique pour ssh (voir [[https://port.numenaute.org/zatalyz/zscript-sysadmin/src/branch/main/files/reaction|la forge]] pour plus de filtres), suffisante pour lister les "pièges" dans la syntaxe.
+<WRAP center round tip 100%>
+[[https://www.sshguard.net/|SSHguard]]((Empaqueté sur Debian)) est souvent plus adapté pour la protection de SSH, car il bannit sur des durées de plus en plus longues. Donc attention à ne pas gêner son fonctionnement avec Reaction. Ce qui n'empêche pas d'ajouter quelques pains bien violents à certains attaquants. Personnellement je n'ai aucune pitié avec ceux qui tentent de se connecter en root, et un banissement d'un mois est presque tendre ; je ne vois pas l'intérêt de les laisser essayer deux fois de suite. Aucun sysadmin suivant les bonnes pratiques ne pourrait faire l'erreur de tenter de se connecter en root.
+</WRAP>
 <code json ssh.jsonnet>
@@ Ligne 210: / Ligne 389: @@
       cmd: ['journalctl', '-fn0', '-u', 'sshd.service'],
       filters: {
-        failedlogin: lib.filter_default + {
+        badssh: lib.filter_default + {
+          regex: [
+            @'User root from <ip> not allowed because not listed in AllowUsers',
+          ],
+        // ce filtre est peu pertinent avec sshguard et va le ralentir dans sa lutte contre les méchants.
+        failedlogin: {
           regex: [
             @'authentication failure;.*rhost=<ip>',
@@ Ligne 218: / Ligne 402: @@
           retry: 3,
           retryperiod: '6h',
-          actions: lib.banFor('48h'),
+          actions: lib.banFor('48h', 'SSH: login échoué'),
         },
       },
@@ Ligne 230: / Ligne 414: @@
   * ''lib.filter_default'' et ''lib.banFor'' : on utilise les actions ''banFor'' et ''filter_default'' mais comme elles sont dans le fichier ''_lib.jsonnet'', on appelle la variable définie avant (''lib''). Sinon, ben... ça marche pas.
+Concernant l'appel des diverses fonctions, il y a plein de petites subtilités. Par exemple, si on veut appliquer les actions par défaut (même durée de ban, même valeurs pour retry, retryperiod) mais déclarer une action complémentaire comme "stream_name", alors on fait ceci :
-<WRAP center round todo 100%>
+<code>
-Ce qui est ici date des premières versions de reaction, on va voir ce qu'on garde.
+[...]
+        apache_auth: lib.filter_default + {
+          regex: [
+            @'^.*client <ip>.* regex',
+          ],
+          actions: lib.filter_default.actions + lib.stream_name('apache_auth'),
+        },
+[...]
+</code>
-==== Envoyer des mails quand il y a une action ====
+Ici ''lib.filter_default.actions'' précise qu'il faut appliquer les actions par défaut de "filter_default". ''+ lib.stream_name('apache_auth')'' permet d'ajouter l'action stream_name (qui permet de loguer pour "quoi" on a banni), en précisant une raison personnalisée donc. Il faut quand même déclarer ''lib.filter_default'' au niveau du stream (après "apache_auth" dans l'exemple), afin que les paramètres "retry" et "retryperiod" s'appliquent sur le stream.
-J'ai une commande qui va envoyer un mail via un script, en ayant en paramètre deux variables : ''ip'' (l'ip bannie) et ''rule'' (la raison du bannissement).
+==== Réaliser des actions plus compliqués ====
-<code>local sendmail(ip,rule) = {
+<WRAP center round tip 60%>
+Ce qui suit est plus pour retrouver comment faire au besoin, mais la configuration précédente (log, sans mail en plus, intégré à banFor) me semble suffisante en général.
+</WRAP>
+Lorsqu'il y a bannissement via Reaction, j'aimerais pouvoir réaliser certaines actions, comme être avertie par mail.
+Bon, en vrai, ça dépend. Sur certains services, la surveillance via des mails, au début, permet d'affiner les règles et éviter les faux positifs. Ensuite, ça fait surtout du bruit. Il devient alors plus utile de loguer les ip bannies, et de vérifier s'il y a des schémas : même plages d'ip par exemple. Ou ip qui continuent d'être bannies mois après mois.
+Bref, tout ça va se faire via notre fichier _lib.jsonnet, avec des actions diverses.
+=== Lancer un script ===
+Si on veut bannir ET réaliser une action autre dans la foulée (par exemple envoyer un mail), le plus simple sera finalement de faire un script de ce type :
+<code bash _ban.sh>
+#!/bin/bash
+# Bannissement
+nft46 add element inet reaction ipvXbans { "$1" }
+# Envoi d'un mail
+# cf le script plus bas...
+</code>
+On modifie alors _lib.jsonnet sur la partie cmd :
+<code json _lib.jsonnet>
+local banFor(time) = {
+  ban: {
+    cmd: ['nft46', 'add element inet reaction ipvXbans { <ip> }'],
+  }
+</code>
+devient
+<code json _lib.jsonnet>
+local banFor(time) = {
+  ban: {
+    cmd: ['sh', '-c', '/etc/reaction/_ban.sh <ip>'],
+  }
+</code>
+Ce qui autorise toutes les fantaisies.
+=== Action : envoi de mail ===
+On peut aussi déclarer une action spéciale pour l'envoi de mail, ce qui permet de l'appeler dans les streams et de personnaliser le message en rapport avec le filtre déclenché.
+Le script suivant prend deux variables : ''ip'' (l'ip bannie) et ''rule'' (la raison du bannissement).
+<code json _lib.jsonnet>local sendmail(ip,rule) = {
   mail: {
-    cmd: ['sh', '/root/scripts/sendmailreaction/mailreaction.sh', ip, rule],
+    cmd: ['sh', '/etc/reaction/_mail.sh', ip, rule],
   },
 };
 </code>
@@ Ligne 247: / Ligne 483: @@
 <code>#!/bin/bash
 # Envoyer un mail
-dossiermail="/root/scripts/sendmailreaction/mail"
+dossiermail="/root/scripts/sendmailreaction"
 titremail="$1 banni"
 # Création du fichier du corps du mail dans un fichier temporaire qui évite toute collision
@@ Ligne 267: / Ligne 503: @@
 fi</code>
-Penser évidement à créer les dossiers ''/root/scripts/sendmailreaction/'' et ''/root/scripts/sendmailreaction/mail'' avant de lancer le reste.
+Penser évidement à créer le dossier ''/root/scripts/sendmailreaction/'' avant de lancer le reste.
-Plus loin dans le fichier de configuration de Reaction, dans les streams, comment dire qu'il faut envoyer un mail (exemple sur ssh) :
+Dans les streams (en ayant des fichiers modulaires), comment dire qu'il faut envoyer un mail (exemple sur ssh) :
 <code>  streams: {
     ssh: {
@@ Ligne 282: / Ligne 518: @@
           retry: 6,
           retryperiod: '6h',
-          actions: banFor('48h') + sendmail('<ip>','"Banni 48h pour tentative de co à SSH"'),
+          actions: lib.banFor('48h') + lib.sendmail('<ip>','"Banni 48h pour tentative de co à SSH"'),
         },
       },
@@ Ligne 288: / Ligne 524: @@
 </code>
+===== Transformer les règles de fail2ban =====
+Ça c'est du chantier...
-==== Mes bouts de stream et de config ====
+Quand on a fail2ban installé, retrouver les regex est un sacré bazar. Il n'y a pas de solution "immédiatement fonctionnelle". Mais deux commandes utiles.
-Fichier principal
-<code jsonnet server.jsonnet>
-// Envoyer un mail lors des actions et précisant ip et raison
+  fail2ban-client -d
-local sendmail(ip,rule) = {
+Celle-ci va lister toutes les règles actives, dans un format permettant de voir quel fichier de log est surveillé et divers détails. C'est assez verbeux, mais utile.
-  mail: {
-    cmd: ['sh', '/root/scripts/sendmailreaction/mailreaction.sh', ip, rule],
-  },
-};
-// pourquoi ça ouvre ici ? Mais, ça marche.
+  fail2ban-client get JAIL failregex
-{
+Remplacer "JAIL" par le nom de la jail ; ne liste que les regex dans un format relativement lisible (enfin, ça reste des regex). On remarque cependant que la partie "<HOST>" n'est pas renseigné, c'est ballot hein ? Suivant les jail, cette variable qui capture l'ip de l'attaquant est soit dans un préfixe (à trouver...) soit sous un format décompressé.
-// patterns are substitued in regexes. when a filter performs an action, it replaces the found pattern.
-// reaction regex syntax is defined here: https://github.com/google/re2/wiki/Syntax
-// jsonnet's @'string' is for verbatim strings.
-  patterns: {
-    // IPs can be IPv4 or IPv6
-    // ip46tables (C program also in this repo) handles running the good commands
-    ip: {
-      regex: @'(([0-9]{1,3}\.){3}[0-9]{1,3})|([0-9a-fA-F:]{2,90})',
-      ignore: ['127.0.0.1', '::1'],
-    },
-  },
-// Commandes exécutées au lancement
+Jails que je tente d'analyser et recopier :
-  start: [
+  * Apache, error.log
-    ['ip46tables', '-w', '-N', 'reaction'],
+    * ''apache-auth'' : la plupart des règles semblent utiles. Pas forcément un ban trop violent au premier abord.
-    ['ip46tables', '-w', '-I', 'INPUT', '-p', 'all', '-j', 'reaction'],
+    * ''apache-botsearch'' : c'est surtout le scan de pages à attaquer ; déjà mis dans mes filtres Reaction et aucune pitié avec ça, mais on note que là c'est la version pour "error" et non "access" donc pas les mêmes ?
-    ['echo', 'Le service a démarré', '|', 'mail', '-s', '"Démarrage de Reaction"', 'root'],
+    * ''apache-modsecurity'' : faut que je creuse plus, ça semble relié à un mod apache que je ne gère pas.
-  ],
+    * ''apache-nohome'' : alors, là, lui, je ne sais pas ce qu'il vise...
-  // Commandes exécutées à l'arrêt, après tout le reste
+    * ''apache-noscript'' : peu de règles, lisibles et très importantes car en effet les badbots les cherchent !
-  stop: [
+    * ''apache-overflows'' : à analyser plus finement, car sans doute qu'il y a des histoires de "retry" pour que ce soit pertinent.
-    ['ip46tables', '-w', '-D', 'INPUT', '-p', 'all', '-j', 'reaction'],
+    * ''apache-shellshock'' : j'sais pô.
-    ['ip46tables', '-w', '-F', 'reaction'],
+  * Apache access.log
-    ['ip46tables', '-w', '-X', 'reaction'],
+    * ''apache-badbots'' : me semble assez douteuse. Ça ban d'après les users agent, mais ce qui est cherché est plein de vieux trucs. Après, ça peut éviter que les bots indexent trop, trop vite, ou de se faire aspirer le site. Mais j'aurais tendance à plutôt mettre des limiteurs de vitesse ?
-    ['echo', 'Le service est éteint', '|', 'mail', '-s', '"Extinction de Reaction"', 'root'],
+      * Notons cependant qu'on a des badbots repérables aux user-agents et que les ban peut réduire le trafic simplement.
-  ],
+    * ''apache-fakegooglebot'' : celle-ci semble sacrément foireuse ?
-// Streams : c'est là qu'on va définir les services et règles menant au bannissement
+Autres services, où en théorie on va tout reprendre (plus les notres) :
-  streams: {
-    ssh: import 'ssh.jsonnet',
-    kernel: import 'kernel.jsonnet',
-    badguypostfix: import 'badguypostfix.jsonnet',
- },
-}
-</code>
-Pour ssh et kernel, il s'agit des configurations par défaut auxquelles j'ai ajouté mon envoi de mail :
-<code jsonnet ssh.jsonnet>
-    {
-      cmd: ['journalctl', '-fn0', '-u', 'ssh.service'],
-      filters: {
-        failedlogin: {
-          regex: [
-            @'authentication failure;.*rhost=<ip>',
-            @'Connection reset by authenticating user .* <ip>',
-            @'Failed password for .* from <ip>',
-          ],
-          retry: 6,
-          retryperiod: '6h',
-          actions: banFor('48h') + sendmail('<ip>','"Banni 48h pour tentative de co à SSH"'),
-        },
-      },
-    },
-</code>
-<code jsonnet kernel.jsonnet>
-    // Ban hosts which knock on closed ports.
-    // It needs this iptables chain to be used to drop packets:
-    // ip46tables -N log-refuse
-    // ip46tables -A log-refuse -p tcp --syn -j LOG --log-level info --log-prefix 'refused connection: '
-    // ip46tables -A log-refuse -m pkttype ! --pkt-type unicast -j nixos-fw-refuse
-    // ip46tables -A log-refuse -j DROP
-    {
-      cmd: ['journalctl', '-fn0', '-k'],
-      filters: {
-        portscan: {
-          regex: ['refused connection: .*SRC=<ip>'],
-          retry: 4,
-          retryperiod: '6h',
-          actions: banFor('720h') + sendmail('<ip>','"est banni un mois pour avoir fait un truc louche sur un port fermé"'),
-        },
-      },
-    },
-</code>
-Pour postfix, pour le moment je cible certains bot cons.
-<code jsonnet badguypostfix.jsonnet>
-    {
-      cmd: ['journalctl', '-fn0', '-u', 'postfix@-.service'],
-      filters: {
-        badguy: {
-          regex: [
-            @'^.* improper command pipelining after CONNECT from unknown\[<ip>\].*',
-            @'^.*\[<ip>\].*tiscali.it.*',
-            @'^.* NOQUEUE: reject: RCPT from unknown\[<ip>\]: 504 5.5.2 .* Helo command rejected: need fully-qualified hostname; .*',
-            @'^.*connect from .*censys.*\[<ip>\]',
-            @'^.*connect from .*stretchoid.*\[<ip>\]',
-            @'^.*RCPT from unknown\[<ip>\].*5yuehaoyunqi\.xyz.*',
-            @'^.*RCPT from unknown\[<ip>\].*funteensex\.com.*',
-          ],
-          retry: 1,
-          retryperiod: '6h',
-          actions: banFor('720h') + sendmail('<ip>','"Banni un mois sans seconde chance pour avoir mal causé à Postfix"'),
-        },
-      },
-    },
-</code>
-</WRAP>
+  * postfix
+  * dovecot
+  * sieve
+  * sshd
-{{tag>fail2ban sysadmin iptable}}
+{{tag>fail2ban sysadmin iptable nftables}}
 [[https://creativecommons.org/publicdomain/zero/1.0/deed.fr|{{ https://liev.re/imagesweb/licences/cc-zero.png?100 | Ce texte est placé sous licence CC0}}]]