Bonjour. Pour signaler une appli qui remplace parfaitement fail2ban:
reaction https://framagit.org/ppom/reaction
https://blog.ppom.me/fr-reaction/
Le 30/09/2024 à 18:15, Pierre Malard a écrit :
Bonjour,
J’avais réagit trop vite en lisant « mail », désolé. Il s’agissait
d’Apache qui était touché.
Ceci étant, Fail2Ban est une très bonne solution pour tous les
services ouverts. La limite à 2 ou 3 récidives est paramétrable selon
le service.
Le principe de Fail2Ban est d’y aller petit à petit :
* 3 récidives : blocage de 15 mn
* 3 nouvelles après la levée du blocage : blocage 30 mn
* Et ainsi de suite…
Pour ceux qui insistent la solution « ban-them » qui est définitive
sur un IP fonctionne bien mais, à mon sens, ne suffit pas pour ceux
qui insistent.
On a alors la possibilité d’utiliser les serveurs de black lists, RBL
ou DSNBL et une liste personnelle pour exclure ces mauvais joueurs.
Mais il est préférable de le faire « à la racine » sur toute nouvelle
connexion sur le service. Il existe des logiciels vendus pour ça mais
le principe était exposé dans ma réponse.
A+
Le 30 sept. 2024 à 11:24, Bernard Bass <bernard.b...@visionduweb.com>
a écrit :
Bonjour,
Merci Pierre pour ta réponse très précise, comme toujours, je vais
consulter les références indiquées.
NB : Je n'utilise pas Postfix/Dovecot, mais, cela doit pouvoir
s'adapter pour EXIM4.
A défaut, je vais tenter d'avancer avec Nftables avec les
informations qui ont été partagées pour bloquer cette plage IP.
Cordialement,
Bernard Bass
Le 30/09/2024 à 07:46, Pierre Malard a écrit :
Bonjour,
C’est une plaie récurrente mais tu peux avoir une aide via des
listes d’IP/réseaux connus comme sur :
* https://www.openbl.org/lists/all.txt
* https://lists.blocklist.de/lists/all.txt
* https://rules.emergingthreats.net/blockrules/compromised-ips.txt
* https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
* …
(liste non exhaustive)
Tu peux y ajouter ta propre liste. Avec ton exemple 47.128, c’est un
service amazon sur un masque de réseau classe B (47.128.0.0/16)
qu’il faudrait blacklister. Il est vrai que ces gros fournisseurs
d’accès sont peu regardants sur ce que tu fais derrière… Mais il
faut savoir qu’il y a peut-être des bons dans ces mauvais.
Le principe c’est de concatérer les listes d’IP/Net de ces listes et
les bloquer via « ipset ». ce qui bloque ces IPs au dessus de
Fail2Ban en les bloquant définitivement.
Il y a aussi un petit Python très bien sur
https://github.com/egrisel/ban-them. Il tient une petite base de
données des IP à bloquer définitivement en se basant sur les
récidives enregistrée par Fail2Ban (seuil basé sur 10 par défaut).
C’est très bien sauf que maintenant les « pirates » sont plus malins
en changeant régulièrement d’IP…
Et/ou s’appuyer sur des sites de RBL
(https://www.dnsbl.info/dnsbl-list.php) en faisant référence à ces
sites dans ta configuration SMTP. Le bloc du Debugo
(https://blog.debugo.f) fourni une très bonne documentation sur la
façon de configurer une service Postfix/Dovecot et ça peux t’aider
(https://blog.debugo.fr/serveur-messagerie-complet-postfix-dovecot-ldap-rspamd/)
Courage
--
Pierre Malard
« /La vérité ne triomphe jamais, mais ses ennemis finissent/
/ toujours par mourir./.. »
Max Placnk (1858-1947)
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr
perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A-
) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--
Pierre Malard
Responsable architectures système CDS DINAMIS/THEIA Montpellier
IRD - UMR Espace-Dev - UAR CPST - IR Data-Terra
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France
Tél : +33 626 89 22 68
«/Tous les Français ambitionnent pour la France un grand rôle/
/ dans le monde. Ce n'est point par des aventures guerrières qu'elle/
/ le trouvera, c'est en donnant aux peuples l'exemple et le signal/
/ de justice./»
Jean Jaures - "L'idéal de justice" - 1889
|\ _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. ,\ ( `'-'
'---''(_/--' `-'\_) πr
perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'\_):
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
