4 203
modifications
« Protéger son serveur des attaques par brute force avec fail2ban » : différence entre les versions
Aller à la navigation
Aller à la recherche
Protéger son serveur des attaques par brute force avec fail2ban (voir la source)
Version du 25 juin 2013 à 00:56
, 25 juin 2013→Faire tourner fail2ban en tant qu'utilisateur plutot que root
Aucun résumé des modifications |
|||
| Ligne 32 : | Ligne 32 : | ||
=Faire tourner fail2ban en tant qu'utilisateur plutot que root= | =Faire tourner fail2ban en tant qu'utilisateur plutot que root= | ||
Pour cela il faut avoir au moins la version <code>0.8.6-3wheezy</code> de fail2ban. | |||
<pre>aptitude install fail2ban sudo</pre> | |||
Créez l'utilisateur : | |||
<pre>useradd --system --no-create-home --home-dir / --groups adm fail2ban</pre> | |||
Modifiez <code>/etc/default/fail2ban</code> : | |||
<pre>FAIL2BAN_USER="fail2ban"</pre> | |||
Modifiez <code>/etc/logrotate.d/fail2ban</code> : | |||
<pre>create 640 fail2ban adm</pre> | |||
Créez le fichier <code>/etc/sudoers.d/fail2ban</code> contenant : | |||
<pre> | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -N fail2ban-[A-Za-z0-9]* | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -A fail2ban-[A-Za-z0-9]* -j RETURN | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -I INPUT -p [A-Za-z0-9]* -m multiport --dports [A-Za-z0-9]* -j fail2ban-[A-Za-z0-9]* | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -D INPUT -p [A-Za-z0-9]* -m multiport --dports [A-Za-z0-9]* -j fail2ban-[A-Za-z0-9]* | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -F fail2ban-[A-Za-z0-9]* | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -X fail2ban-[A-Za-z0-9]* | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -n -L INPUT | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -I fail2ban-[A-Za-z0-9]* 1 -s * -j DROP | |||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -D fail2ban-[A-Za-z0-9]* -s * -j DROP | |||
</pre> | |||