Fail2ban, configuration findtime et bantime

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Fail2ban, configuration findtime et bantime

Kev42

Bonjour, je ne comprends pas cette remarque provenant de cette page :

Par rapport au blocage par défaut (600s), un blocage de 1h est bien plus réaliste (3600s), ou même 1 journée (86400s), ou pourquoi pas 1 semaine (604800s). Mais attention que changer le 'bantime' n'agit pas sur le 'findtime' qu'il faut également ajuster, car sinon le 'findtime' par défaut (10mn) est utilisé, ce qui permet à nouveau l'attaque expliqué au point précédent.

En qui cela serait ce contre productif d'avoir un findtime petit avec un grand bantime ?
Pour autant que je le comprenne, la valeur de findtime définit la fréquence à laquelle les fichiers de log sont analysés, et le bantime simplement le temps de ban des vilains / poissons rouges.
Donc pour moi c'est tout de même nécessaire d'avoir un petit findtime même avec un grand bantime, histoire de réduire l’efficacité des attaques par brute force notamment.

Correct, ou quelque chose m'échappe ?

xataz

Salut,

Le findtime, n'est pas la fréquence de vérification des logs, mais l'intervalle de recherche du nombre d'occurences (maxretry). Je sais pas si je suis clair, mais admettons avec un exemple:
Tu as un bantime à 600s (10min) (trop court selon moi), un maxretry de 6, et un findtime de 300s (5min). Admettons que ton attaquant attaque 1 fois par minutes, et bien il ne sera jamais bloquer, car il fait que 5 attaques en 5 min, et il en faut 6 pour ce faire bloquer.

Kev42

C'est clair oui, il faut donc que le findtime soit au moins 2 fois plus grand que le bantime.
Mais j'ai remarqué que la plupart des fichiers logs étaient compressés tous les 7 jours, fail2ban peut gérer cela ? (notamment si le findtime est plus grand que 7 jours).

xataz

Un findtime de plus d'une semaine n'est pas utile. Personnellement, je mets pas plus grand qu'une journée, mais j'ai un maxretry de 3, avec un bantime de -1 (ban a vie) pour ssh, 1 journée pour nginx et 1 semaine pour ftp.
Si le mec te bruteforce avec moins de 3 tentatives par jour, même s'il a 100 IP, sa ne va pas surcharger ton serveur.

Kev42

Pfiou tu dois avoir un sacré paquet de bannis à vie alors.

Ça ne répond pas à ma question cela dit, mais je suppose que la réponse est non.

Merci.

Wagner

Bonsoir,

FailBan se configure d'une manière globale ainsi qu'au cas par cas. Les jails sont à configurées en ce sens.
Les attaques sont diverses. Hier, Vendetta1985 évoqua le cas de certains robots. Justement, il y en a quelqu'uns qui reviennent de manière périodique. Un exemple : une fois par jour.
Afin de les cibler, il existe 2 façons : le findtime et la recidive (cf le fichier jail.conf).

Et non, les logs ne sont compressés tous les 7 jours. Cela varie, par exemple avec Nginx, c'est plutôt vers le 3ème jours. De plus, Nginx est certainement configuré pour les conserver une semaine.

xataz wrote:Un findtime de plus d'une semaine n'est pas utile.

Donc, en effet, au-delà ça sera inutile.

Kev42 wrote:Ça ne répond pas à ma question cela dit, mais je suppose que la réponse est non.

Il s'avère que non car FailBan exploite une base de données. Ainsi, oui il peut le gérer. Il faudra peut-être également redéfinir la variable dbpurgeage (cf le fichier fail2ban.conf).

PS : Il y a une (quelques) erreur(s) avec le lien menant à la documention de Ubuntu.

Kev42

Erreur sur le lien fixé.

Ok pour la bdd, j'aurais du avoir le réflexe d'aller chercher sur les sources mais y'avait rien d'indiqué de tel dans le fail2ban.conf que j'ai sur le serveur, bref mea culpa.

Et oui bien entendu je me doute que la façon dont les logs sont archivés est configurable.

Selon vos conseils je vais mettre un findtime d'une semaine, et un bantime d'une heure, pour tous les jail.
Les récidivistes auront le droit à un mois, ca me semble correct.

Sinon, pour les récidivistes je suppose que tu parlais de ce genre de solution.

Merci.

Wagner

Merci de l'avoir rectifié.
D'un point de vue, il faut le savoir. Ce qui requiert de connaître un minimal Fail2Ban. Le GitHub de Fail2Ban fut évoqué à peine quelques fois... et uniquement par moi-même. Alors le reste...

De rien et oui, il s'agit bien de ce que j'entends. Par contre, attention, il y aura probablement quelques différences (des fichiers préexistant etc). Cela dépend de la version de Fail2Ban.