Fail2ban et pure-ftpd sur debian lenny
Par alex206 le dimanche, février 15 2009, 13:58 - Informatique - Lien permanent
Bien que souffrant d'une allergie profonde au protocole ftp, j'ai été amené à m'intéresser à la mise en place d'un système anti force brut sur pure-ftpd comme serveur et fail2ban (cerber pour les intimes) pour bloquer les indésirables.
Je passe directement à la partie qui nous intéresse, pour tout ce qui concerne l'installation, configuration et authentification, le web regorge de tutoriels la dessus.
Première chose, dans le fichier /etc/fail2ban/jail.conf ajoutez à la fin par exemple, ceci :
Dans le fichier /etc/fail2ban/filter.d/pure-ftpd.conf remplacez la ligne
[pure-ftpd] enabled = true port = ftp,ftp-data,ftps,ftps-data filter = pure-ftpd logpath = /var/log/pure-ftpd/pure-ftpd.log maxretry = 3la ligne logpath est à adapter à votre configuration. Pour la suite, la regex utilisé est construite sur l'idée que pure-ftpd loggue les ip et non les informations obtenues par reverse dns.
Dans le fichier /etc/fail2ban/filter.d/pure-ftpd.conf remplacez la ligne
failregex = pure-ftpd(?:\[\d+\])?: (.+?@par celle-ci :) \[WARNING\] %(__errmsg)s \[.+\]$
failregex = .*pure-ftpd: \(.*@Redémarrez votre cerber, désormais, les indésirables devraient être banni à la troisième tentative infructueuse.\) \[WARNING\] Authentication failed for user.*