Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:formations:hebergement:serveur:proteger:fail2ban [2022/10/25 16:25] – jeremie
+++ doc:formations:hebergement:serveur:proteger:fail2ban [2022/11/17 12:24] (Version actuelle) – [brute force sur nginx] jeremie
@@ Ligne 25: / Ligne 25: @@
 </code>
+===== recherche abusive de point d'attaque sur nginx =====
+Den ombreux "script-kiddies" font tourner des programmes qui testent toute une série de logiciels pouvant être installé afin d'en trouver une version avec une faille de sécurité connue. On les repère aisément car ils font une série brutales d'accès à l'aveugle, qui résultent pour la plupart en une erreur 404 "not found".
+Il est trivial de bloquer les IP source pendant un petit délai, par exemple 300 secondes (5 minutes) si on détecte de 10 essais infructueux en moins de 10 secondes:
+<code nginx /etc/fail2ban/filter.d/nginx-4xx.conf>
+[Definition]
+failregex = ^<HOST>.*"(GET|POST).*" (404|444|403|400) .*$
+ignoreregex =
+</code>
+<code nginx /etc/fail2ban/jail.conf>
+# A ajouter à la fin du fichier:
+[nginx-4xx]
+enabled = true
+port = http,https
+filter = nginx-4xx
+logpath = /var/log/nginx/access.log
+bantime = 300
+findtime = 10
+maxretry = 10
+</code>
+Enfin, on relance et on teste avec:
+  service fail2ban restart
+  fail2ban-client status nginx-4xx
 ===== brute force sur nginx =====