[Linux-bruxelles] fail2ban

[Aldo]

On Fri, Mar 05, 2010 at 12:12:56AM +0100, Didier Misson wrote:
> On 04/03/10 21:02, Aldo wrote:
> > Yo Didier:
> >
> > On Thu, Mar 04, 2010 at 07:11:25PM +0100, Didier MISSON wrote:
> >> Bonsoir Aldo,
> >>
> >> tu laisses comme c'est, sauf éventuellement les délais et le nombre d'essais.
> >> Par défaut, Fail2ban ne protège que le SSH... ce qui est exactement ce que tu cherches.
> >
> > OUi mais ça parle dans le fichier de conf d'un jaul.local ou chose de ce
> > genre:
> > faut-il laisse le jail.conf intacte et cp au même endroit un jail.local ?
> > et donc modifier du coup les minutes de delay dans ce jail.local ?
> >
> > Si je veux mettre le nombre d'essais pour l'ssh à 3 et le temps d'attente à
> > un quart d'heure, peux-tu me préciser l'endroit / section car y en a un peu
> > partout des valeurs similaires MaxCeci et MaxCela, je m'y perds.
> >
> > Sinon je suis épaté par ce beau petit soft tout simple et apprement déjà
> > efficace as is !
> >
> > Aldo.
> 
> Visiblement, c'est dans /etc/fail2ban/jail.conf

Oui, mais ça ne répond pas tout à fait à ma question; à la ligne 7 de
jail.conf y a marqué:

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local

Faut-il juste mettre des modifes dans jail.local ou recopier jail.conf en le
renommant jail.local et ensuite uniquement modifier ce fichier-là ?

> et tu repères la section  [ssh]
> 
> mais comme tu le dis, Fail2ban est déjà efficace comme ça !
> Il protège d'office le SSH.
> Si délais et nombre d'essais te conviennent, alors rien à modifier

Oui mais sous la section [ssh] on sait modifier que le nombre d'essais,
pas la durée de délai du ban:

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 6

Qq'un a-t-il + de détails ?

Je voudrais aumoins doubler le temps de délai avant que de l'extérieur on
puisse retenter sa chance :-) 

Aldo.