Projet

Général

Profil

Actions
Copier le lien

Demande #5114

fermé

Muscler un peu fail2ban

Ajouté par François Poulain il y a presque 4 ans. Mis à jour il y a presque 4 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
François Poulain
Catégorie:
-
Version cible:
Chapril - Sprint 2021 janvier
Début:
10/01/2021
Echéance:
% réalisé:

0%

Temps estimé:

Description

Parmis les gens coupés par le fwall, il y en a qui abusent un peu. On peut leur couper les vivres. Par ex :

=(^-^)=root@maine:~# journalctl --since today | grep -i 'kernel: DROP' | grep -o 'SRC=[^ ]*' | sort | uniq -c | sort -h | tail -50
     40 SRC=45.129.33.15
     40 SRC=45.129.33.165
     40 SRC=45.129.33.169
     42 SRC=135.148.25.98
     42 SRC=45.129.33.82
     43 SRC=45.129.33.162
     44 SRC=130.61.116.104
     44 SRC=45.129.33.185
     44 SRC=45.129.33.5
     44 SRC=45.129.33.6
     46 SRC=192.168.1.57
     46 SRC=45.129.33.129
     46 SRC=45.129.33.8
     47 SRC=45.129.33.186
     48 SRC=45.129.33.9
     48 SRC=77.121.10.115
     49 SRC=185.107.96.3
     49 SRC=45.129.33.12
     49 SRC=45.129.33.84
     50 SRC=45.129.33.10
     54 SRC=51.89.191.147
     56 SRC=45.129.33.14
     57 SRC=103.145.13.58
     60 SRC=34.192.55.182
     61 SRC=45.129.33.59
     61 SRC=94.102.51.28
     63 SRC=45.155.205.103
     65 SRC=139.99.252.82
     65 SRC=146.88.240.4
     69 SRC=135.148.25.101
     74 SRC=94.102.49.191
     93 SRC=2a01:cb09:b062:6588:d1c8:eaaa:614a:1505
    158 SRC=108.179.242.155
    161 SRC=45.129.33.151
    183 SRC=51.222.143.1
    202 SRC=45.129.33.152
    212 SRC=45.129.33.40
    217 SRC=162.235.47.190
    261 SRC=106.240.239.26
    438 SRC=89.248.169.94
    439 SRC=80.82.70.25
    514 SRC=180.246.149.83
    574 SRC=195.54.161.151
    581 SRC=89.248.162.161
    727 SRC=171.224.180.78
   1398 SRC=76.192.120.115
   2447 SRC=192.168.1.4
   2447 SRC=192.168.1.5
   3301 SRC=79.124.62.82
  20288 SRC=240e:00f7:4f01:000c:0000:0000:0000:0003

Actions
Copier le lien
 #1

Mis à jour par Laurent POUJOULAT il y a presque 4 ans

Pour information, il y a une jail qui se nomme "recidive" qui permet de virer ceux qui abusent (récidivent). En mettant 3 mois sur recidive on est généralement tranquille.

Actions
Copier le lien
 #2

Mis à jour par Christian P. Momon il y a presque 4 ans

Ça a l'air bien ça \o/

Actions
Copier le lien
 #3

Mis à jour par François Poulain il y a presque 4 ans

Les 192.168.1.4 et 192.168.1.5 c'est bootp qu'on n'utilise pas. On pourrait le désactiver (et quoi qu'il en soit whitelister ces deux ip dans fail2ban).

Actions
Copier le lien
 #4

Mis à jour par François Poulain il y a presque 4 ans

J'ai ajouté sur bastion recidive et nginx-botsearch.

Actions
Copier le lien
 #5

Mis à jour par François Poulain il y a presque 4 ans

  • Statut changé de Nouveau à En cours de traitement

J'ai fait une tentative sur maine de bloquer celles et ceux qui abusent de se faire dropper des paquets. Je dupliquerai sur coon si c'est concluant.

Actions
Copier le lien
 #6

Mis à jour par François Poulain il y a presque 4 ans

  • Statut changé de En cours de traitement à Résolu

Ça a l'air concluant ; j'ai dupliqué sur coon.

Actions
Copier le lien
 #7

Mis à jour par Christian P. Momon il y a presque 4 ans

  • Assigné à mis à François Poulain
Actions
Copier le lien
 #8

Mis à jour par Quentin Gibeaux il y a presque 4 ans

  • Statut changé de Résolu à Fermé
Actions
Copier le lien
 #9

Mis à jour par Christian P. Momon il y a presque 4 ans

  • Version cible changé de Backlog à Sprint 2021 janvier
Actions
Copier le lien

Formats disponibles : Atom PDF