Accueil > Informatique > Fail2Ban

Fail2Ban

Une fois de plus en rentrant aujourd’hui il m’est impossible de me connecter a mon serveur via ssh et il ne répond pas non plus aux pings.

Après l’avoir relancé je jette un oeil dans les logs et dans /var/log/kern.log je trouve ces lignes:

Mar 24 20:52:11 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158421159:2158422611. Repaired.
Mar 24 20:52:12 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158421159:2158422611. Repaired.

Mar 24 20:53:06 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158682519:2158683971. Repaired.
Mar 24 20:53:07 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158682519:2158683971. Repaired.
Mar 24 20:53:33 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158821911:2158823363. Repaired.
Mar 24 20:53:34 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2158821911:2158823363. Repaired.
Mar 24 20:54:17 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2159030999:2159033903. Repaired.
Mar 24 20:54:18 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2159030999:2159033903. Repaired.
Mar 24 20:54:52 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2159240087:2159241539. Repaired.
Mar 24 20:54:53 dokho kernel: TCP: Treason uncloaked! Peer 83.182.146.192:64208/21336 shrinks window 2159240087:2159241539. Repaired.

Puis plus rien, l’entrée qui suit correspond au redémarrage que j’ai effectué précédemment.

En fouillant un peu plus je m’appercois que ca n’est pas la première fois, ce qui expliquerait peu-être sûrement les autres plantages similaires que j’ai deja eu.

Je décide donc d’installer fail2ban.

Fail2ban est un outil qui surveille vos fichiers logs et qui agit dans iptables en fonction des règles que vous avez définies.

La configuration de fail2ban est on ne peut plus simple (quand on comprend les expressions régulières RegEx) =/ ):

Dans le fichier /etc/fail2ban/jail.conf j’ai ajouté les lignes suivantes:

[dos]

enabled = true

filter = dos

logpath = /var/log/kern.log

maxretry = 3

findtime = 300

bantime = 3600

action = iptables[name=DOS, protocol=tcp, port=21336]

Puis j’ai créé le filtre qui correspond à ma règle donc dans mon exemple /etc/fail2ban/filter.d/dos.conf :

[Definition]

failregex = TCP\: Treason uncloaked\! Peer \:+

ignoreregex =

Il ne reste plus qu’a relancer fail2ban (en root):

/etc/init.d/fail2ban restart

Maintenant il suffit d’attendre et de vérifier régulièrement les logs histoire de voir si cela fonctionne.

A suivre …

Categories: Informatique Tags: , ,
  1. Pas encore de commentaire
  1. Pas encore de trackbacks