Bannir les récidivistes

Fail2ban est un super outil pour bannir certaines adresses IP ayant un comportement de spamming ou de détection de failles de sécurité. Ce bannissement à une durée, fixée dans les paramètres de fail2ban, mais on constate parfois que dès que le bannissement est terminé, l'adresse IP reprend son action malveillante.

La solution que j'ai mis en place et qui fonctionne relativement bien est basé sur le fait que fail2ban possède son propre fichier de log. Il suffit donc de créer une règle de détection avec des paramètres de bannissement très sévères si l'adresse IP se fait bannir régulièrement sur une période donnée.

On commence par créer le filtre qu'on placera dans le répertoire dédié au filtre : /etc/fail2ban/filter.d , pour cela on utilise la console en ligne de commande.

echo "[Definition]
failregex = fail2ban.actions: WARNING \[(.*)\] Ban <HOST>
ignoreregex = fail2ban.actions: WARNING \[fail2ban-recidiviste\] Ban <HOST> ">/etc/fail2ban/filter.d/fail2ban-recidiviste.conf

Ensuite, on indique à fail2ban d'utiliser la règle que nous venons de définir ci-dessus, pour cela on utilise toujours la console en ligne de commande.

echo "
[fail2ban-recidiviste]
enabled  = true
filter   = fail2ban-recidiviste
action   = iptables-allports[name=recidiviste]
logpath  = /var/log/fail2ban.log
maxretry = 3
# 1 semaine
findtime = 604800
# 30 jours
bantime  = 2592000
">>/etc/fail2ban/jail.local

• Auteur : montuy337513
• Sources : Site officiel de Fail2ban