4 203
modifications
« Protéger son serveur des attaques par brute force avec fail2ban » : différence entre les versions
Aller à la navigation
Aller à la recherche
Protéger son serveur des attaques par brute force avec fail2ban (voir la source)
Version du 25 juin 2013 à 12:27
, 25 juin 2013→Faire tourner fail2ban en tant qu'utilisateur plutot que root
| Ligne 33 : | Ligne 33 : | ||
=Faire tourner fail2ban en tant qu'utilisateur plutot que root= | =Faire tourner fail2ban en tant qu'utilisateur plutot que root= | ||
<pre>aptitude install fail2ban sudo</pre> | |||
< | ==Si vous êtes sous debian squeeze== | ||
Modifiez le fichier <code>/etc/init.d/fail2ban</code> : localisez la ligne contenant <code>start-stop-daemon</code> et modifiez comme suit (on ajoute 3 lignes et on modifie l'option du --chuid de la ligne start-stop-daemon) : | |||
<pre> | |||
chown fail2ban /var/run/fail2ban | |||
touch /var/log/fail2ban.log | |||
chown fail2ban /var/log/fail2ban.log | |||
start-stop-daemon --start --quiet --chuid fail2ban --exec $DAEMON -- \ | |||
</pre> | |||
==Si vous êtes sous debian wheezy== | |||
Modifiez <code>/etc/default/fail2ban</code> : | Modifiez <code>/etc/default/fail2ban</code> : | ||
<pre>FAIL2BAN_USER="fail2ban"</pre> | <pre>FAIL2BAN_USER="fail2ban"</pre> | ||
==Suite== | |||
Créez l'utilisateur : | |||
<pre>useradd --system --no-create-home --home-dir / --groups adm fail2ban</pre> | |||
Modifiez <code>/etc/logrotate.d/fail2ban</code> : | Modifiez <code>/etc/logrotate.d/fail2ban</code> : | ||
| Ligne 61 : | Ligne 72 : | ||
fail2ban ALL=(root) NOPASSWD:/sbin/iptables -D fail2ban-[A-Za-z0-9]* -s * -j DROP | fail2ban ALL=(root) NOPASSWD:/sbin/iptables -D fail2ban-[A-Za-z0-9]* -s * -j DROP | ||
</pre> | </pre> | ||
<pre>chown 0440 /etc/sudoers/fail2ban</pre> | |||
Enfin, modifiez le fichier <code>/etc/fail2ban/action.d/iptables-multiport.conf</code> en remplaçant toutes les occurences à <code>iptables</code> par <code>sudo iptables</code> | Enfin, modifiez le fichier <code>/etc/fail2ban/action.d/iptables-multiport.conf</code> en remplaçant toutes les occurences à <code>iptables</code> par <code>sudo iptables</code> | ||