Il s'agit de la commande jail.conf0 qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
jail.conf - configuration du serveur fail2ban
SYNOPSIS
fail2ban.conf fail2ban.d/*.conf fail2ban.local fail2ban.d/*.local
prison.conf prison.d/*.conf prison.local prison.d/*.local
action.d/*.conf action.d/*.local action.d/*.py
filtre.d/*.conf filtre.d/*.local
DESCRIPTION
Fail2ban a quatre types de fichiers de configuration :
fail2ban.conf
Configuration globale Fail2Ban (telle que la journalisation)
filtre.d/*.conf
Filtres spécifiant comment détecter les échecs d'authentification
action.d/*.conf
Actions définissant les commandes d'interdiction et d'annulation de l'adresse IP
prison.conf
Des prisons définissant des combinaisons de filtres avec des actions.
CONFIGURATION DES DOSSIERS Format
*.conf les fichiers sont distribués par Fail2Ban. Il est recommandé que les fichiers *.conf
restent inchangés pour faciliter les mises à niveau. Si nécessaire, des personnalisations doivent être fournies dans
*.local des dossiers. Par exemple, si vous souhaitez activer la prison [ssh-iptables-ipset]
spécifié dans jail.conf, créez jail.local contenant
prison.local
[ssh-iptables-ipset]
enabled = vrai
Dans les fichiers .local, spécifiez uniquement les paramètres que vous souhaitez modifier et le reste des
la configuration proviendra alors du fichier .conf correspondant qui est analysé en premier.
prison.d/ et fail2ban.d/
En plus de .local, pour le fichier jail.conf ou fail2ban.conf, il peut y avoir un
correspondant .ré/ répertoire contenant des fichiers .conf supplémentaires. La commande par exemple pour
prison la configuration serait :
prison.conf
jail.d/*.conf (par ordre alphabétique)
prison.local
jail.d/*.local (par ordre alphabétique).
c'est-à-dire que tous les fichiers .local sont analysés après les fichiers .conf dans la configuration d'origine
fichier et fichiers sous le répertoire .d. Les paramètres du fichier analysé plus tard prennent
priorité sur les entrées identiques dans les fichiers précédemment analysés. Les fichiers sont commandés
par ordre alphabétique, par exemple
fail2ban.d/01_custom_log.conf - d'utiliser un chemin de journal différent
prison.d/01_enable.conf - pour activer une prison spécifique
jail.d/02_custom_port.conf - pour changer le(s) port(s) d'une prison.
Les fichiers de configuration ont des sections, celles spécifiées avec [nom de la section] et nom = valeur
paires. Pour les éléments de nom qui peuvent accepter plusieurs valeurs, spécifiez les valeurs séparées
par des espaces, ou dans des lignes séparées espace en retrait au début de la ligne avant le
deuxième valeur.
Les fichiers de configuration peuvent inclure d'autres fichiers de configuration (définissant des variables communes),
qui est souvent utilisé dans les filtres et les actions. De telles inclusions sont définies dans une section
appelé [INCLUT] :
avant indique que le fichier spécifié doit être analysé avant le fichier actuel.
après indique que le fichier spécifié doit être analysé après le fichier actuel.
En utilisant les mécanismes d'"interpolation de chaîne" Python, d'autres définitions sont autorisées et peuvent
plus tard être utilisé dans d'autres définitions comme %(name)s. Par exemple.
mauvaisuseragents = IE|wget
failregex = useragent=%(baduseragents)s
Commentaires : utilisez '#' pour les lignes de commentaires et '; ' (l'espace est important) pour les commentaires en ligne.
Lors de l'utilisation de Python2.X '; ' ne peut être utilisé que sur la première ligne en raison d'un bogue de la bibliothèque Python.
ÉCHEC2BAN CONFIGURATION DES DOSSIERS) (fail2ban.conf)
Ces fichiers ont une section, [Définition].
Les éléments qui peuvent être réglés sont :
loglevel
niveau de verbosité de la sortie du journal : CRITICAL, ERROR, WARNING, NOTICE, INFO, DEBUG.
Par défaut : ERREUR
cible de journal
cible du journal : nom de fichier, SYSLOG, STDERR ou STDOUT. Par défaut : STDERR . Un seul journal
la cible peut être spécifiée. Si vous modifiez la cible de journalisation par rapport à la valeur par défaut et que vous
utilisez logrotate -- ajustez ou désactivez également la rotation dans le
fichier de configuration (par exemple /etc/logrotate.d/fail2ban sur les systèmes Debian).
douille nom de fichier socket. Par défaut : /var/run/fail2ban/fail2ban.sock . Ceci est utilisé pour
communication avec le démon du serveur fail2ban. Ne supprimez pas ce fichier lorsque
Fail2ban est en cours d'exécution. Il ne sera pas possible de communiquer avec le serveur
après.
fichier pid
Nom de fichier PID. Par défaut : /var/run/fail2ban/fail2ban.pid. Ceci est utilisé pour stocker le
ID de processus du serveur fail2ban.
fichier de base de données Nom de fichier de la base de données. Par défaut : /var/lib/fail2ban/fail2ban.sqlite3 Ceci définit où
les données persistantes pour fail2ban sont stockées. Ces données persistantes permettent d'interdire
rétabli et continuer à lire les fichiers journaux à partir de la dernière position de lecture lorsque fail2ban
est redémarré. Une valeur de Aucun désactive cette fonctionnalité.
dbpurge
Âge de purge de la base de données en secondes. Par défaut : 86400 (24 heures) Ceci définit l'âge auquel
les bans doivent être purgés de la base de données.
PRISON CONFIGURATION DES DOSSIERS) (prison.conf)
Les options suivantes sont applicables à n'importe quelle prison. Ils apparaissent dans une section précisant les
nom de la prison ou dans le [DÉFAUT] section qui définit les valeurs par défaut à utiliser sinon
spécifié dans la section individuelle.
une fonction filtre nom du filtre -- nom de fichier du filtre dans /etc/fail2ban/filter.d/ sans le
extension .conf/.local. Un seul filtre peut être spécifié.
chemin de journalisation
nom(s) des fichiers journaux à surveiller, séparés par des nouvelles lignes. Globes --
chemins contenant * et ? ou [0-9] -- peut être utilisé cependant seulement les fichiers qui existent
au démarrage, la correspondance avec ce modèle de glob sera prise en compte.
L'option optionnelle séparée par des espaces 'queue' peut être ajoutée à la fin du chemin pour provoquer
le fichier journal à lire depuis la fin, sinon l'option 'head' par défaut lit le fichier depuis
le début
Assurez-vous que syslog ou le programme qui génère le fichier journal n'est pas configuré pour
compresser les messages de journal répétés en "*dernier message répété 5 fois" sinon c'est
ne parviendra pas à détecter. C'est appelé RépétéMsgRéduction dans rsyslog et devrait être
de.
codage logique
encodage des fichiers journaux utilisés pour le décodage. La valeur par défaut de "auto" utilise le courant
paramètres régionaux du système.
action action(s) de /etc/fail2ban/action.d/ sans .conf/.local extension.
Les arguments peuvent être transmis aux actions pour remplacer les valeurs par défaut de [Init]
section dans le fichier d'action. Les arguments sont spécifiés par :
[nom=valeur,nom2=valeur,nom3="valeurs,valeurs"]
Les valeurs peuvent également être entre guillemets (obligatoire lorsque la valeur comprend un ","). Plus qu'un
l'action peut être spécifiée (dans des lignes séparées).
ignorer
liste des IP à ne pas bannir. Ils peuvent également inclure un masque CIDR.
ignorer la commande
commande qui est exécutée pour déterminer si l'IP candidate actuelle pour l'interdiction
ne doit pas être interdit. IP ne sera pas banni si la commande revient avec succès (exit
code 0). Comme ACTION FILES, des balises comme peuvent être inclus dans le
ignore la valeur de la commande et sera remplacé avant l'exécution. Actuellement seulement
est pris en charge, mais d'autres seront ajoutés ultérieurement.
l'heure du ban
durée effective du ban (en secondes).
trouver le temps
intervalle de temps (en secondes) avant l'heure actuelle où les échecs compteront
vers une interdiction.
essai max
nombre d'échecs qui doivent se produire au cours de la dernière trouver le temps secondes pour bannir puis IP.
backend
backend à utiliser pour détecter les changements dans le chemin du journal. La valeur par défaut est "auto" qui
essaiera "pyinotify", "gamin", "systemd" avant "polling". N'importe lequel d'entre eux peut être
spécifié. "pyinotify" n'est valable que sur les systèmes Linux avec le Python "pyinotify"
bibliothèques. "gamin" nécessite les bibliothèques "gamin".
utilisé utilisez DNS pour résoudre les noms d'HTES qui apparaissent dans les journaux. Par défaut c'est "avertir"
qui résoudra les noms d'hôtes en adresses IP, mais il enregistrera également un avertissement. Si vous êtes
en utilisant DNS ici, vous pourriez bloquer les mauvaises adresses IP en raison de la nature asymétrique de
DNS inversé (que l'application utilisait pour écrire le nom de domaine à enregistrer) par rapport à
transférer le DNS que fail2ban utilise pour résoudre ce problème en une adresse IP (mais pas nécessairement
le même). Idéalement, vous devez configurer vos applications pour enregistrer une véritable IP.
Cela peut être défini sur « oui » pour éviter les avertissements dans le journal ou sur « non » pour désactiver le DNS
résolution totale (ignorant ainsi les entrées où le nom d'hôte, pas une adresse IP n'est enregistré).
échecregex
expression régulière (Python regulaire expression) à ajouter aux failregex du filtre. Si ce
est utile pour les autres utilisateurs de votre application, veuillez partager votre expression régulière
avec les développeurs fail2ban en signalant un problème (voir SIGNALER DES BOGUES ci-dessous).
ignorerregex
regex qui, si la ligne de journal correspond, empêcherait Fail2Ban de considérer cette ligne.
Cette ligne sera ignorée même si elle correspond à un failregex de la prison ou de l'un de ses
filtres
Backends
Les options disponibles sont répertoriées ci-dessous.
pyinotifier
nécessite l'installation de pyinotify (un moniteur d'altération de fichier). Si pyinotify n'est pas
installé, Fail2ban utilisera auto.
gamin nécessite l'installation de Gamin (un moniteur d'altération de fichier). Si Gamin n'est pas
installé, Fail2ban utilisera auto.
vote
utilise un algorithme d'interrogation qui ne nécessite pas de bibliothèques externes.
systemd
utilise la bibliothèque python systemd pour accéder au journal systemd. En précisant chemin de journalisation is
non valide pour ce backend et utilise à la place correspondance de journal des prisons
config de filtre associée.
Actions
Chaque prison peut être configurée avec un seul filtre, mais peut avoir plusieurs actions. Par
par défaut, le nom d'une action est le nom du fichier d'action, et dans le cas des actions Python,
l'extension de fichier ".py" est supprimée. Lorsque plusieurs de la même action doivent être utilisés,
le nom d'acte L'option peut être affectée à l'action pour éviter les doublons, par exemple :
[ssh-iptables-ipset]
enabled = vrai
action = smtp.py[dest=[email protected], nom_act=smtp-chris]
smtp.py[dest=[email protected], nom_acte=smtp-sally]
ACTION CONFIGURATION DES DOSSIERS (action.d/*.conf)
Les fichiers d'action spécifient quelles commandes sont exécutées pour interdire et déinterdire une adresse IP.
Comme avec les fichiers jail.conf, si vous souhaitez des modifications locales, créez un [nom de l'action].local filet
dans le /etc/fail2ban/action.d répertoire et remplacez les paramètres requis.
Les fichiers d'action ont deux sections, Définition et Init .
La section [Init] active les paramètres spécifiques à l'action. Dans jail.conf/jail.local ceux-ci peuvent être
annulées pour une prison particulière en tant qu'options de la spécification de l'action dans cette prison.
Les commandes suivantes peuvent être présentes dans la section [Définition].
début de l'action
commande(s) exécutée(s) au démarrage de la prison.
actionsstop
commande(s) exécutée(s) lorsque la prison s'arrête.
contrôle d'action
la ou les commandes ont été exécutées avant toute autre action. Il vise à vérifier si l'environnement est
Toujours d'accord.
interdiction d'action
commande(s) qui interdit l'adresse IP après essai max les lignes de journal correspondent au cours de la dernière
trouver le temps secondes.
actiondébannir
commande(s) qui débloque l'adresse IP après l'heure du ban.
La section [Init] permet des réglages spécifiques à l'action. Dans jail.conf/jail.local ceux-ci peuvent
être écrasées pour une prison particulière en tant qu'options pour la prison. Les éléments suivants sont spéciaux
tags qui peuvent être définis dans la section [Init] :
temps mort
La durée maximale en secondes pendant laquelle une commande peut être exécutée, avant d'être
tué.
Les commandes spécifiées dans la section [Definition] sont exécutées via un shell système afin que
la redirection du shell et le contrôle des processus sont autorisés. Les commandes doivent retourner 0, sinon
l'erreur serait enregistrée. De plus si contrôle d'action sort avec un statut différent de 0, il est pris comme
indication que l'état du pare-feu a changé et que fail2ban doit se réinitialiser
(c'est-à-dire problème actionsstop et début de l'action commandes). Les balises sont entourées de <>. Tous les
les éléments de [Init] sont des balises qui sont remplacées dans toutes les commandes d'action. Des balises peuvent être ajoutées
par le client fail2ban en utilisant le « ensemble action " commande. <br> est une balise qui est
toujours une nouvelle ligne (\n).
Plusieurs commandes peuvent être spécifiées. Chaque commande doit être sur un
ligne séparée et en retrait avec des espaces sans lignes blanches. L'exemple suivant
définit deux commandes à exécuter.
actionban = iptables -I fail2ban- --la source -j TOMBER
écho ip= , correspondance= , temps= >> /var/log/fail2ban.log
Action Tags
Les balises suivantes sont remplacées dans les actionsban, actionunban et actioncheck (lorsque
appelé avant les commandes actionban/actionunban).
ip Adresse IP IPv4 à bannir. par exemple 192.168.0.2
échecs
nombre de fois où l'échec s'est produit dans le fichier journal. par exemple 3
échecs ip
Selon échecs, mais total de tous les échecs pour cette adresse IP dans toutes les prisons
à partir de la base de données persistante fail2ban. Par conséquent, la base de données doit être définie pour cela
balise pour fonctionner.
échecs ipjail
Selon échecs ip, mais total basé sur les échecs d'adresses IP pour la prison actuelle.
Paisible UNIX (époque) heure de l'interdiction. par exemple 1357508484
allumettes
chaîne concaténée des lignes du fichier journal des correspondances qui ont généré le ban.
De nombreux caractères interprétés par le shell sont échappés pour empêcher l'injection, néanmoins
utiliser avec précaution.
correspondances IP
Selon allumettes, mais inclut toutes les lignes pour l'IP qui sont contenues avec le
base de données persistante fail2ban. Par conséquent, la base de données doit être définie pour cette balise sur
la fonction.
ipjailmatchs
Selon correspondances IP, mais les correspondances sont limitées pour l'IP et pour la prison actuelle.
PYTHON ACTION DES DOSSIERS
Des actions basées sur Python peuvent également être utilisées, où le nom du fichier doit être [nom de l'action].pyL’
Le fichier Python doit contenir une variable Action qui pointe vers la classe Python. Cette classe doit
implémenter une interface minimale telle que décrite par fail2ban.server.action.ActionBase, Qui peut
être hérité de pour faciliter la mise en œuvre.
FILTRE DES DOSSIERS (filtre.d/*.conf)
Les définitions de filtre sont celles de /etc/fail2ban/filter.d/*.conf et filtre.d/*.local.
Ceux-ci sont utilisés pour identifier les tentatives d'authentification échouées dans les fichiers journaux et pour extraire le
adresse IP de l'hôte (ou nom d'hôte si utilisé is oui).
Comme les fichiers d'action, les fichiers de filtre sont des fichiers ini. La section principale est la [Définition]
.
Deux définitions de filtre sont utilisées dans la section [Définition] :
échecregex
est l'expression régulière (regulaire expression) qui correspondra aux tentatives infructueuses. La balise
est utilisé dans le cadre de l'expression régulière et est lui-même une expression régulière pour les adresses IPv4 (et
noms d'hôtes si utilisé). Fail2Ban déterminera lequel d'entre eux est réellement.
Pour les expressions régulières multilignes, la balise doit être utilisé pour séparer les lignes. Cette
permet aux lignes entre les lignes correspondantes de continuer à être recherchées pour d'autres
les échecs. La balise peut être utilisée plusieurs fois.
ignorerregex
est l'expression régulière pour identifier les entrées de journal qui doivent être ignorées par Fail2Ban, même si
ils correspondent à failregex.
Semblable aux actions, les filtres ont une section [Init] qui peut être remplacée dans
jail.conf/jail.local. La section du filtre [Init] est limitée aux options suivantes :
maxlignes
spécifie le nombre maximum de lignes à mettre en mémoire tampon pour correspondre aux expressions régulières multi-lignes. Pour
certains formats de journaux, cela n'aura pas besoin d'être modifié. D'autres journaux peuvent nécessiter de
augmentez cette valeur si un fichier journal particulier est fréquemment écrit.
modèle de date
spécifie un modèle de date/regex personnalisé comme alternative à la date par défaut
détecteurs, par exemple %Y-%m-%d %H:%M(?::%S)?. Pour une liste des directives de format valides, voir
Documentation de la bibliothèque Python pour le comportement de strptime.
De plus, les valeurs spéciales de Epoch (Horodatage UNIX), TAI64N et ISO8601. peut être utilisé.
NOTE: en raison de la substitution de chaîne de fichier de configuration, ces % doivent être échappés par un % dans
fichiers de configuration.
correspondance de journal
spécifie la correspondance de journal systemd utilisée pour filtrer les entrées de journal. Voir
journalctl(1) et systemd.journal-champs(7) pour la syntaxe des correspondances et plus de détails sur
champs de journal spéciaux. Cette option n'est valable que pour le systemd arrière-plan.
Les filtres peuvent également avoir une section appelée [INCLUDES]. Ceci est utilisé pour lire d'autres
fichiers de configuration.
avant indique que ce fichier est lu avant la section [Definition].
après indique que ce fichier est lu après la section [Definition].
Utilisez jail.conf0 en ligne en utilisant les services onworks.net
