Effectivement le vieillissant F2B est parfois compliqué à prendre en mains et à dompter. Et encore plus quand on est sur différente distrib avec différente version.

Reaction, me semble pas mal, après il est jeune et la sécurité ça ne s'improvise pas, mais je pense que je vais tester. J'ai bien la philosophie.

J'avais jamais regardé le dépot Github de fail2ban.

J'aime beaucoup le changelog et la liste des releases/version.

• ver. 1.0.2 (2022/11/09) - finally war game test tape not a nuclear alarm
• ver. 1.0.1 (2022/09/27) - energy equals mass times the speed of light squared
  • ver. 0.11.2 (2020/11/23) - heal the world with security tools

Un règle Fail2ban pour bloquer les "client denied by server configuration".

Je ne connaissait pas Tinyhoneypot, il permet de logger toute activité sur un port non utilisé.

Dans ce tuto il couple Tinyhoneypot et Fail2ban pour protéger un accès SSH. Pas con du tout.

Marrant sur mon serveur c'est pas flagrant, sur les deux derniers mois.
1 China (629)
2 Russian Federation (418)
3 United States (403)
4 Vietnam (338)
5 Ukraine (168)
6 Unknown (152)
7 Brazil (110)

Le nombre indique les tentatives de connections ratées sur SSh, Postfix, FTP... remonté par fail2ban.

J'ai envie de répondre : est-ce un problème pour iptables ? J'ai pas la réponse à cette question.

J'ai envie de penser que c'est son taf à iptables que de gérer une chié de règles. Je connais pas le fonctionnement d'iptables, mais je pense qu'il doit garder en mémoire (ram) les règles, il ne vas pas les chercher dans sa base à chaque paquet.

Pour le bantime à -1 j'y voit un problème avec les ip dynamique, si tu récupère une vielle adresse IP bien pourri ça peux faire chié. Idem avec un serveur dedié, tu récupère un dédié qui a une IP ban, pas évidement non plus. Et puis tu finis inexorablement par avoir une liste d'adresse IP longue et obsolète.

Après je suis d'accord que c'est pas La solution. Je pense que la liste d'IP fournis par blocklist est trop grosse, il devrait mettre un genre de "top" des IP à ban. Parce qu'on as tous essayé de rentrer sur un serveur qui n'étais pas le notre. Moi le premier faute de frappe, dns pas à jour, ip dynamique... Me faire ban à vie pour une boulette ça me fait suer.

Il y a bien la règles "recidive" de fail2ban, mais j'avoue que j'ai pas bien saisie les subtilité de cette règle.

Un script bash pour synchroniser fail2ban avec http://blocklist.de .

Blocklist.de est un site qui permet de soumettre via Fail2Ban les tentatives d'intrusion que Fail2ban détecte. Cela permet d'avoir une base d'adresse ip de serveur pourris et d'agir en conséquence (Iptables, host.deny ....).

Depuis quelques jours je suis littéralement attaqué par des serveurs chinois, russe ... malgré des temps de ban assez long ( 8 heures) pour deux erreurs. Ils continuent d'essayer de se loguer.

Quelques adresse IP en question :

• 115.239.228.11
• 115.239.228.13
• 115.239.228.14
• 115.239.228.34
• 115.230.126.151
• 103.41.124.15
• 103.41.124.17
• 103.41.124.24
• 183.136.216.3
• 183.136.216.4

Une règle Fail2Ban pour bloquer les attaques sur la page wp-login.php de Wordpress.

Bloquer les scan qui tente de trouvé le répertoire de phpmyadmin