introduction
Lorsque vous utilisez un serveur Web, il est important de mettre en œuvre des mesures de sécurité pour protéger votre site et vos utilisateurs. La protection de vos sites Web et de vos applications à l'aide de stratégies de pare-feu et la restriction de l'accès à certaines zones grâce à l'authentification par mot de passe constituent un excellent point de départ pour sécuriser votre système. Cependant, toute invite de mot de passe accessible au public est susceptible d'attirer les tentatives de force brute d'utilisateurs malveillants et de robots.
La configuration defail2ban
peut aider à atténuer ce problème. Lorsque les utilisateurs échouent à plusieurs reprises à s'authentifier auprès d'un service (ou à s'engager dans une autre activité suspecte),fail2ban
peut émettre des interdictions temporaires sur l'adresse IP incriminée en modifiant dynamiquement la stratégie de pare-feu en cours d'exécution. Chaque «prison» defail2ban
fonctionne en vérifiant les journaux écrits par un service pour les modèles qui indiquent des tentatives infructueuses. La configuration defail2ban
pour surveiller les journaux Apache est facile grâce aux filtres de configuration inclus.
Dans ce guide, nous montrerons comment installerfail2ban
et le configurer pour surveiller vos journaux Apache pour les tentatives d'intrusion. Nous allons utiliser un serveur Ubuntu 14.04.
Conditions préalables
Avant de commencer, vous devez avoir un serveur Ubuntu 14.04 configuré avec un compte non root. Ce compte doit être configuré avec les privilègessudo
afin d'émettre des commandes administratives. Pour savoir comment configurer un utilisateur avec les privilègessudo
, suivez nosinitial server setup guide for Ubuntu 14.04.
Installation d'Apache et configuration de l'authentification par mot de passe
Si vous souhaitez protéger votre serveur Apache avecfail2ban
, vous disposez peut-être déjà d'un serveur configuré et en cours d'exécution. Sinon, vous pouvez installer Apache à partir des référentiels par défaut d'Ubuntu en utilisantapt
.
Mettez à jour l'index de package local et installez-le en tapant:
sudo apt-get update
sudo apt-get install apache2
Le servicefail2ban
est utile pour protéger les points d'entrée de connexion. Pour que cela soit utile pour une installation Apache, l'authentification par mot de passe doit être implémentée pour au moins un sous-ensemble du contenu sur le serveur. Vous pouvez suivrethis guide pour configurer la protection par mot de passe pour votre serveur Apache.
Installer Fail2Ban
Une fois que votre serveur Apache est en cours d'exécution et que l'authentification par mot de passe est activée, vous pouvez continuer et installerfail2ban
(nous incluons une autre récupération de référentiel ici au cas où vous auriez déjà configuré Apache dans les étapes précédentes):
sudo apt-get update
sudo apt-get install fail2ban
Cela installera le logiciel. Par défaut,fail2ban
est configuré pour interdire uniquement les tentatives de connexion SSH ayant échoué. Nous devons activer certaines règles qui le configureront pour vérifier dans nos journaux Apache les modèles indiquant une activité malveillante.
Ajuster les paramètres généraux dans Fail2Ban
Pour commencer, nous devons ajuster le fichier de configuration quefail2ban
utilise pour déterminer les journaux d'application à surveiller et les actions à entreprendre lorsque des entrées incriminées sont trouvées. Le fichier/etc/fail2ban/jail.conf
fourni est la principale ressource fournie pour cela.
Pour apporter des modifications, nous devons copier ce fichier dans/etc/fail2ban/jail.local
. Cela évitera que nos modifications ne soient écrasées si une mise à jour du package fournit un nouveau fichier par défaut:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Ouvrez le fichier récemment copié afin que nous puissions configurer la surveillance de notre journal Apache:
sudo nano /etc/fail2ban/jail.local
Changer les valeurs par défaut
Nous devrions commencer par évaluer les valeurs par défaut définies dans le fichier pour voir si elles correspondent à nos besoins. Ceux-ci se trouvent dans la section[DEFAULT]
du fichier. Ces éléments définissent la politique générale et peuvent chacun être remplacés dans des jails spécifiques.
L'un des premiers éléments à examiner est la liste des clients qui ne sont pas soumis aux politiquesfail2ban
. Ceci est défini par la directiveignoreip
. Il est parfois utile d’ajouter votre propre adresse IP ou réseau à la liste des exceptions pour éviter de vous verrouiller. Cela pose moins de problèmes avec les connexions au serveur Web, même si vous pouvez conserver un accès au shell, car vous pouvez toujours annuler manuellement l'interdiction. Vous pouvez ajouter des adresses IP ou des réseaux supplémentaires délimités par un espace à la liste existante:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
ignoreip = 127.0.0.1/8 your_home_IP
Un autre élément que vous souhaiterez peut-être ajuster est lebantime
, qui contrôle le nombre de secondes pendant lesquelles un membre fautif est banni. Il est idéal de définir une durée suffisamment longue pour perturber les efforts d’un acteur malveillant, tout en étant suffisamment courte pour permettre aux utilisateurs légitimes de rectifier les erreurs. Par défaut, ce paramètre est défini sur 600 secondes (10 minutes). Augmentez ou diminuez cette valeur comme bon vous semble:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
bantime = 3600
Les deux éléments suivants déterminent l'étendue des lignes de journal utilisées pour déterminer un client fautif. Lefindtime
spécifie une durée en secondes et la directivemaxretry
indique le nombre de tentatives à tolérer dans ce délai. Si un client fait plus demaxretry
tentatives dans le laps de temps défini parfindtime
, il sera banni:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
findtime = 3600 # These lines combine to ban clients that fail
maxretry = 6 # to authenticate 6 times within a half hour.
Configuration des notifications par courrier (facultatif)
Vous pouvez activer les notifications par courrier électronique si vous souhaitez recevoir un courrier électronique chaque fois qu'une interdiction a lieu. Pour ce faire, vous devez d'abord configurer un MTA sur votre serveur afin qu'il puisse envoyer un courrier électronique. Pour savoir comment utiliser Postfix pour cette tâche, suivezthis guide.
Une fois votre MTA configuré, vous devrez ajuster certains paramètres supplémentaires dans la section[DEFAULT]
du fichier/etc/fail2ban/jail.local
. Commencez par définir la directivemta
. Si vous configurez Postfix, comme le montre le didacticiel ci-dessus, remplacez cette valeur par «mail»:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
mta = mail
Vous devez sélectionner l'adresse électronique à laquelle seront envoyées les notifications. Modifiez la directivedestemail
avec cette valeur. La directivesendername
peut être utilisée pour modifier le champ «Sender» dans les e-mails de notification:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
destemail = [email protected]
sendername = Fail2BanAlerts
Dans le langage defail2ban
, une «action» est la procédure suivie lorsqu'un client échoue trop souvent à l'authentification. L'action par défaut (appeléeaction_
) consiste simplement à bannir l'adresse IP du port en question. Cependant, il existe deux autres actions prédéfinies qui peuvent être utilisées si vous avez configuré le courrier.
Vous pouvez utiliser l'actionaction_mw
pour bannir le client et envoyer une notification par e-mail à votre compte configuré avec un rapport «whois» sur l'adresse incriminée. Vous pouvez également utiliser l'actionaction_mwl
, qui fait la même chose, mais inclut également les lignes de journal incriminées qui ont déclenché l'interdiction:
/etc/fail2ban/jail.local
[DEFAULT]
. . .
action = %(action_mwl)s
Configuration de Fail2Ban pour surveiller les journaux Apache
Maintenant que vous avez mis en place certains des paramètres généraux defail2ban
, nous pouvons nous concentrer sur l'activation des jails spécifiques à Apache qui surveilleront les journaux de notre serveur Web pour des modèles de comportement spécifiques.
Chaque prison dans le fichier de configuration est marquée par un en-tête contenant le nom de la prison entre crochets (chaque section sauf la section[DEFAULT]
indique la configuration d'une prison spécifique). Par défaut, seule la prison de[ssh]
est activée.
Pour activer la surveillance des journaux pour les tentatives de connexion Apache, nous activerons la prison de[apache]
. Modifiez la directiveenabled
dans cette section afin qu'elle affiche «true»:
/etc/fail2ban/jail.local
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6
. . .
Si votre serveur Apache écrit à l'emplacement du journal par défaut (/var/log/apache/error.log
), la prison est déjà configurée pour chercher au bon endroit. Si vous vous connectez à un emplacement différent, modifiez leslogpath
selon vos besoins. Aussi, n'hésitez pas à ajuster la directivemaxretry
ou à ajouter une valeurfindtime
pour cette prison si vous souhaitez définir différentes restrictions pour cette prison spécifique:
/etc/fail2ban/jail.local
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache/custom_log_location.log
maxretry = 3
findtime = 600
. . .
La prison ci-dessus se chargera d'interdire les échecs d'authentification de base. Il existe également d'autres prisons préconfigurées qui méritent d'être activées (la prison de[apache-multiport]
est une prison héritée qui n'est pas nécessaire).
La prison[apache-noscript]
est utilisée pour interdire les clients qui recherchent des scripts sur le site Web à exécuter et à exploiter. Si vous n'utilisez pas PHP ou tout autre langage conjointement avec votre serveur Web, vous pouvez activer cette prison pour interdire ceux qui demandent ces types de ressources:
/etc/fail2ban/jail.local
[apache-noscript]
enabled = true
. . .
La prison de[apache-overflows]
est utilisée pour bloquer les clients qui tentent de demander des URL anormalement longues et suspectes. Ce sont souvent des signes de tentatives d'exploitation d'Apache en essayant de provoquer un débordement de tampon. Vous pouvez activer cette prison si vous souhaitez empêcher ces types d'attaques:
/etc/fail2ban/jail.local
[apache-overflows]
enabled = true
. . .
Quelques vérifications supplémentaires peuvent être effectuées en copiant et collant l'entrée[apache-overflows]
et en la modifiant légèrement. Par exemple, vous pouvez copier et coller cette section et modifier le nom de la prison et filtrer surapache-badbots
pour arrêter certains modèles de demande de bot malveillants connus:
/etc/fail2ban/jail.local
[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2
[apache-badbots]
enabled = true
port = http,https
filter = apache-badbots
logpath = /var/log/apache*/*error.log
maxretry = 2
Si vous n'utilisez pas Apache pour fournir l'accès au contenu Web dans les répertoires personnels des utilisateurs, vous pouvez copier et coller à nouveau et changer les noms de prison et de filtre enapache-nohome
:
/etc/fail2ban/jail.local
[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2
[apache-badbots]
enabled = true
port = http,https
filter = apache-badbots
logpath = /var/log/apache*/*error.log
maxretry = 2
[apache-nohome]
enabled = true
port = http,https
filter = apache-nohome
logpath = /var/log/apache*/*error.log
maxretry = 2
Enfin, si vous utilisez Apache avec PHP, vous pouvez activer la prison[php-url-fopen]
, qui bloque les tentatives d'utilisation de certains comportements PHP à des fins malveillantes. Vous devrez probablement modifier la directivelogpath
pour pointer l'emplacement correct du journal d'accès (sur Ubuntu, l'emplacement par défaut est/var/log/apache2/access.log
). Vous pouvez utiliser un modèle similaire à celui qui correspond au journal des erreurs dans les autres jails:
/etc/fail2ban/jail.local
[php-url-fopen]
enabled = true
port = http,https
filter = php-url-fopen
logpath = /var/log/apache*/*access.log
Lorsque vous avez terminé les modifications nécessaires, enregistrez et fermez le fichier.
Mettre en œuvre vos jails Apache
Pour mettre en œuvre vos modifications de configuration, vous devrez redémarrer le servicefail2ban
. Vous pouvez le faire en tapant:
sudo service fail2ban restart
Le service doit redémarrer, en implémentant les différentes stratégies d’interdiction que vous avez configurées.
Obtenir des informations sur les jails activés
Vous pouvez voir tous vos jails activés en utilisant la commandefail2ban-client
:
sudo fail2ban-client status
Vous devriez voir une liste de toutes les jails que vous avez activées:
OutputStatus
|- Number of jail: 7
`- Jail list: php-url-fopen, apache-overflows, apache-noscript, ssh, apache-badbots, apache-nohome, apache
Vous pouvez voir quefail2ban
a modifié vos règles de pare-feu pour créer un cadre pour bannir les clients. Même sans règles de pare-feu précédentes, vous auriez maintenant un framework activé qui permet àfail2ban
d'interdire sélectivement les clients en les ajoutant à des chaînes spécialement conçues:
sudo iptables -S
Output-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-apache
-N fail2ban-apache-badbots
-N fail2ban-apache-nohome
-N fail2ban-apache-noscript
-N fail2ban-apache-overflows
-N fail2ban-php-url-fopen
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-nohome
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-badbots
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-php-url-fopen
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-overflows
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-noscript
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-apache-badbots -j RETURN
-A fail2ban-apache-nohome -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-php-url-fopen -j RETURN
-A fail2ban-ssh -j RETURN
Si vous voulez voir les détails des interdictions appliquées par une prison, il est probablement plus facile d'utiliser à nouveau lesfail2ban-client
:
sudo fail2ban-client status apache
OutputStatus for the jail: apache
|- filter
| |- File list: /var/log/apache2/error.log
| |- Currently failed: 0
| `- Total failed: 0
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 0
Test des stratégies Fail2Ban
Il est important de tester vos stratégiesfail2ban
pour vous assurer qu'elles bloquent le trafic comme prévu. Par exemple, pour l'invite d'authentification Apache, vous pouvez donner plusieurs fois des informations d'identification incorrectes. Après avoir dépassé cette limite, vous devriez être banni et ne plus avoir accès au site. Si vous configurez des notifications par courrier électronique, vous devriez voir les messages concernant l'interdiction dans le compte de messagerie que vous avez fourni.
Si vous regardez l'état avec la commandefail2ban-client
, vous verrez que votre adresse IP est bannie du site:
sudo fail2ban-client status apache
OutputStatus for the jail: apache
|- filter
| |- File list: /var/log/apache2/error.log
| |- Currently failed: 0
| `- Total failed: 12
`- action
|- Currently banned: 1
| `- IP list: 111.111.111.111
`- Total banned: 1
Lorsque vous êtes convaincu que vos règles fonctionnent, vous pouvez annuler manuellement votre adresse IP avec lesfail2ban-client
en tapant:
sudo fail2ban-client set apache unbanip 111.111.111.111
Vous devriez maintenant pouvoir tenter à nouveau l'authentification.
Conclusion
La configuration defail2ban
pour protéger votre serveur Apache est assez simple dans le cas le plus simple. Cependant,fail2ban
offre une grande flexibilité pour construire des politiques qui répondront à vos besoins de sécurité spécifiques. En examinant les variables et les modèles dans le fichier/etc/fail2ban/jail.local
, et les fichiers dont il dépend dans les répertoires/etc/fail2ban/filter.d
et/etc/fail2ban/action.d
, vous pouvez trouver de nombreux éléments à modifier et à modifier au fur et à mesure que votre les besoins évoluent. Apprendre les bases de la protection de votre serveur avecfail2ban
peut vous fournir une grande sécurité avec un minimum d'effort.
Pour en savoir plus surfail2ban
, jetez un œil à certains de ces liens: