+--On 22 octobre 2012 09:47:55 +0200 cam.lafit@azerttyu.net wrote: | Ciao | | Pour commencer la semaine je m'interroge sur comment optimiser mes | bannissements IP entre mes serveurs. | Pour le moment je déploie fail2ban sur toutes mes machines et je | trouve que cela marche pas mal mais chaque machine gère du coup son | propre lot d'ip bloquée et rate parfois l'ip vu par un des autres | serveurs. On m'a suggéré de coupler avec Portsentry pour compléter la | couverture de protection.
J'me suis dit que pour une fois que j'avais un truc à dire, j'allais le faire 0:-)
Sur nos serveurs, on a du radius pour le ssh, et le plugin freeradius qui gère l'auth (en Perl, à base de yubikey ou motp) log tous les accès dans une table, avec la source et le résultat (oui/non) on a un autre script à base de Perl/POE qui va, toutes les 5 ou 10 secondes, je sais plus, faire un select à base de trouve moi tous les clients qui ont fait plus de 5 fail dans les 5 minutes écoulées.
Il parle ensuite à un autre service sur une autre machine, pour lui filer les ip des méchants, qui est relié à un quagga qui sert de serveur de blackhole bgp, si mes souvenirs sont bons, les méchants sont punis pendant pendant 4 heures.
Ça a réduit les scans de ssh à pas grand chose... :-)