Fail2ban
Fail2ban est un outil de sécurité informatique qui permet, à partir de l'exploitation des fichiers journaux ("logs"), de protéger un serveur en bloquant temporairement ou définitivement des adresses IP de machines à partir desquelles des attaques réseau ont été remarquées. De façon générale, fail2ban peut exploiter n'importe quel fichier de log, pour détecter par exemple de multiples tentatives de connexion, des soumissions d'url malveillante, etc ...
Lors de la détection d'une attaque ou d'une action malveillante, fail2ban est capable de mettre à jour dynamiquement les règles du pare-feu local du serveur pour bloquer pendant un temps donné les flux en provenance de l'adresse IP d'où provient l'attaque, mais il peut aussi exécuter, si nécessaire, n'importe quelle autre action.
La version 0.8.7 introduit la possibilité de traiter différemment les adresses IP qui se sont déjà faites bannir plusieurs fois.
Fail2ban est très flexible et permet de surveiller un grand nombre de services système différents comme par exemple ssh, ftp, mail, web, ... Il suffit de disposer d'un fichier de log à analyser et de définir un "filtre" qui indique quelles sont les lignes qui correspondent a priori à une activité malveillante. Fail2ban est fourni par défaut avec de nombreux filtres prédéfinis pour repérer les attaques les plus fréquentes, notamment, sur des services standards.
Il est également très flexible par rapport à la conduite à tenir, qui est définie dans des fichiers "actions". Au delà d'un seuil configuré pour chaque service à surveiller, une action est exécutée. Fail2ban peut bloquer l'adresse IP de l'attaquant au moyen d'une configuration appropriée dans iptables, ou par les fichiers hosts.deny ou encore envoyer un mail ou remonter l'information à un système centralisé, etc.
Un certain nombre d'actions de base sont disponibles par défaut.
Fail2ban est utilisé sur la machine "sas" d'entrée du campus de Luminy. La plupart des services du campus ne sont autorisés de l'extérieur que depuis les machines sas. En rajoutant fail2ban, ces machines "sas" sont un peu plus sécurisées de manière, notamment, à éviter les attaques en force brute.
Commentaires
Utilisateurs institutionnels
Sans trop rentrer dans le détail, on pourrait mentionner qu'une certaine expérience en astrophysique utilise l'outil pour protéger ses serveurs web.
Je sais que c'est délicat de dévoiler des détails de protection sur un système. Mais est-ce qu'on ne pourrait pas donner quelques précisions du genre "En général, toutes les machines du labo X sont protégées par fail2ban pré-installé." ou "Moi Y, en tant qu'administrateur ai intégré l'installation de fail2ban dans toutes les machines de mon parc par défaut." ?