conflits potentiels ufw et fail2ban

40

L'exécution de fail2ban et de ufw posera-t-elle des problèmes? J'ai remarqué que fail2ban modifiait les règles iptables, mais ufw a déjà défini une tonne de règles iptables ... alors je ne suis pas sûr que fail2ban les gâchera.

    
posée Adam Monsen 27.07.2011 - 23:16
la source

3 réponses

47

Vous pouvez utiliser ufw et fail2b ensemble, mais comme indiqué précédemment, l’ordre des règles (ufw) est important.

Hors de la boîte, fail2ban utilise iptables et insère d'abord des règles dans la chaîne INPUT. Cela ne fera pas de mal ou de conflit avec ufw.

Si vous souhaitez intégrer complètement fail2ban pour utiliser ufw (plutôt que iptables). Vous devrez modifier un certain nombre de fichiers, y compris

/etc/fail2ban/jail.local

jail.local est l'endroit où vous définissez vos services, y compris le port sur lequel ils écoutent (pensez à changer ssh en un port autre que celui par défaut) et les mesures à prendre.

** S'il vous plaît noter *: Ne jamais éditer jail.conf , vos modifications doivent être effectuées dans jail.local ! Ce fichier commence par ceci:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

En utilisant ssh comme exemple, notez également la définition d’un port autre que celui par défaut =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Vous configurez ensuite fail2ban pour utiliser ufw in (un fichier .conf pour chaque service)

/etc/fail2ban/action.d/ufw-ssh.conf

La syntaxe est

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Remarque: Vous configurez fail2ban pour utiliser ufw et pour insérer de nouvelles règles FIRST à l’aide de la syntaxe "insert 1". La suppression trouvera la règle indépendamment de la commande.

Il y a un bon article de blog qui va plus en détail ici

lien

[EDIT] Pour Ubuntu 16.04+

par défaut un " defaults-debian.conf " en /etc/fail2ban/jail.d avec le contenu

[sshd]
enabled = true

activera la protection ssh de fail2ban.

Vous devez le mettre à faux.

Ensuite, créez un fichier jail.local comme vous le feriez en général, le mien serait comme ceci:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

Il y a déjà un ufw.conf dans l'installation par défaut de fail2ban, donc pas besoin d'en créer un.

Le seul changement spécifique pour vous jail.local serait à la ligne d'action où vous devez mettre l'application concernée pour la protection et ce que vous voulez obtenir comme résultat.

ufw a tendance à détecter automatiquement une certaine quantité d'applications s'exécutant sur le réseau. Pour avoir la liste, tapez simplement sudo ufw app list . C'est sensible à la casse.

rechargez fail2ban et vous ne verrez plus la chaîne fail2ban et si une IP obtient un bloc, vous le verrez dans sudo ufw status

    
réponse donnée Panther 05.12.2011 - 22:09
la source
5

J'utilise fail2ban et ufw depuis des années sur deux ordinateurs différents et je n'ai jamais eu de problème. Pour configurer fail2ban:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Maintenant, éditez le fichier comme vous le souhaitez, par exemple si vous souhaitez bloquer la recherche de lignes non autorisées par ssh:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

si "enabled" est réglé sur "false", changez-le en "true" comme indiqué ici. Après avoir défini les règles, vous devez redémarrer le processus fail2ban:

sudo /etc/init.d/fail2ban restart

Si vous avez ouvert le port 22 sur votre pare-feu ufw, fail2ban interdira les clients qui tentent de se connecter plus de 6 fois sans succès, cela ne cassera pas votre pare-feu.

    
réponse donnée enedene 05.12.2011 - 22:33
la source
2

L'installation de 0.9.5 de fail2ban incluait une action ufw que je devais simplement définir pour banaction

    
réponse donnée Carson Reinke 26.12.2016 - 17:55
la source

Lire d'autres questions sur les étiquettes