Le 1 déc. 2015 à 18:57, andre_deb...@numericable.fr a écrit : >> et en modifiant ou en ajoutant un filtre fail2ban spécifique >> (les tentatives d'authentification sont alors toutes loggées, >> mais le format est différent de ce que fail2ban recherche : > >> J'espère que je n'ai pas été trop confus dans mes explications et je >> suis désolé de ne pas pouvoir fournir une solution clé en main… >> A+ Jean-Jacques > > Merci, pas confus mais pas d'infos sur : > "comment ajouter un filtre fail2ban spécifique" :-)
Ce n'est pas super compliqué, en fait. Il n'existe pas de tuto parce que chaque nouveau filtre est spécifique à des besoins personnels. Personnellement, j'ai procédé comme suit. D'abord, je me suis fait envoyer les bans par mail (une option à ajouter qui est décrite dans le haut du fichier jail.{conf | local}) J'ai été regarder mes logs litigieux et j'ai créé une regex dessus. Puis, j'ai mv un filtre lambda.conf en avotboncoeur.conf J'ai remplacé sa regex par la mienne et je l'ai testée : /usr/bin/fail2ban-regex /var/log/nginx/monfichier.access.log /etc/fail2ban/filter.d/nginx-login.conf J'y ai été contraint, parce que je n'ai pas trouvé de filtre sympa sur nginx et j'ai pas mal d'exploits sur Wordpress. > > La crainte est qu'un jour une intrusion découvre > le mot de passe d'un compte mail. C'est clair que ça vaut le coup de se creuser la cervelle pour trouver une +/- bonne solution avec un maximum d'efficacité. > > Bonne soirée. > > André >