Pierre-Alain Bandinelli : Fail2ban veille sur Dotclear, Wordpress et Piwik
dimanche 27 octobre 2013 à 07:51Avec les bonnes règles, on peut demander à fail2ban de surveiller un certain nombre de services et de repérer toute tentative d'accès frauduleuse par force brute (i.e. essai de nombreuses combinaisons utilisateur/mot de passe possibles).
On crée d'abord un nouveau fichier de filtre dans /etc/fail2ban/filter.d/bruteforce.conf qui contient :
[Definition] failregex =ignoreregex =
Il ne reste plus qu'à spécifier les règles (par expression régulière) nécessaires pour détecter les comportements coupables !
Pour protéger dotclear par exemple, on utilisera la règle suivante :
monblog.mondomain.tld:80- - .* "POST /admin/auth.php HTTP/1.1" 200
Pour Wordpress, on pourra utiliser celle-là :
monblog.mondomain.tld:80- - .* "POST /wp-login.php HTTP/1.1" 200
Et pour Piwik, celle-ci pourra faire l'affaire :
monpiwik.mondomain.tld:80- - .* "POST / HTTP/1.1" 200
Les dernières étapes consistent à ajouter une section dans le fichier /etc/fail2ban/jail.local pour utiliser ces nouveaux filtres et surveiller le fichier de log d'apache !
[apache-services-bruteforce] enabled = true port = http,https filter = bruteforce logpath = /var/log/apache2/other_vhosts_access.log maxretry = 8
Original post of Pierre-Alain Bandinelli.Votez pour ce billet sur Planet Libre.
Articles similaires
- Tuxicoman : Fail2ban pour votre installation WordPress (03/04/2013)
- David Mercereau : WordPress & fail2ban : stopper la brute-force “POST /wp-login.php” (09/09/2013)