Exception réseau local Fail2ban

De EjnTricks
Révision de 24 mars 2018 à 21:15 par Etienne (discussion | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)

Par défaut, toutes les tentatives sont soumises à la vérification. Lors de la configuration (sévère) sur le protocole ssh dans l'article suivant, il n'est pas laissé beaucoup de chance aux tentatives, uniquement un essai. Mais cela peut être problématique pour tous les accès depuis un réseau "local".

Cet article présente comment ajouter une exceptions pour ce cas.

Les modifications ont été réalisées sur une version 0.9.7 de Fail2ban.


Hand-icon.png Votre avis

Nobody voted on this yet

 You need to enable JavaScript to vote


Study icon.png Analyse

Une configuration globale est mise à disposition dans le fichier /etc/fail2ban/jail.conf. La section DEFAULT permet de spécifier les éléments de configurations appliqués à toutes les règles. La première option documentée concerne justement les addresses IP ignorées. 

[DEFAULT]

#
# MISCELLANEOUS OPTIONS
#

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8

Par défaut, toutes les addresses "locales" sont donc ignorées.


Icon-Configuration-Settings.png Configuration

System-Install-icon.png Préparation environnement

Comme il est recommandé, les personnalisations seront placés dans un nouveau fichier jail.local créé dans le répertoire /etc/fail2ban. Les permissions mises en place sont inspirées des fichiers fournis par la distribution. 

#sudo touch /etc/fail2ban/jail.local
#sudo chown root:root /etc/fail2ban/jail.local
#sudo chmod 644 /etc/fail2ban/jail.local

Process-icon.png Personnalisation

L'objectif est d'ignorer un ensemble d'adresse IP du réseau local, du style 192.168.1.1 à 192.168.1.16. Le paramètre ignoreip dans la section DEFAULT permet de fournir les adresses séparées par un espace ou une virgule. La nomenclature CIDR mask est disponible pour spécifier un ensemble d'adresse IP. La valeur 192.168.1.0/27 permet de configurer un ensemble de 32 addresses.

Le contenu du fichier est le suivant. 

[DEFAULT]

ignoreip = 127.0.0.1/8 192.168.1.0/27

Update icon.png Activation

La modification sera effective une fois l'exécution de la commande fail2ban-client avec l'argument reload. 

#sudo fail2ban-client reload
Récupérée de « http://www.jouvinio.net/wiki/index.php?title=Exception_réseau_local_Fail2ban&oldid=14921 »