Script Shell pour bloquer les adresses IP
Est-il possible d'écrire un script Shell qui vérifie les connexions dans un serveur Apache et bloque automatiquement les adresses IP suspectes avec un grand nombre de connexions et envoie un courrier à l'administrateur système. Veuillez aider.
J'ai également entendu parler de fail2ban. Sera-t-il pratique d'utiliser fail2ban ou un script Shell car le script Shell doit être exécuté à intervalles réguliers. des commentaires?
En lisant le premier paragraphe, je pensais à fail2ban.
Le plus gros problème ici est de détecter un mauvais utilisateur. Si vous le faites manuellement, ignorez fail2ban et utilise Sudo ufw deny from 1.2.3.4. Ce sera un bloc permanent, mais voilà.
fail2ban fonctionne mieux lorsque votre système (tout service, y compris un site Web dynamique) envoie des éléments aux journaux (syslog ou service spécifique). fail2ban a alors une pile de choses à rechercher et ensuite quoi faire s'il trouve des choses.
Par exemple, j'emploie actuellement un fail2ban plugin pour Wordpress qui envoie des événements à syslog. fail2ban détecte trois essais incorrects puis bloque l'IP pendant cinq minutes. C'est du génie qui a à peu près entièrement bloqué les attaques par force brute. Je mentionne ce plugin car c'est un bon exemple d'un simple ensemble de règles personnalisé. Il est facile de voir comment cela fonctionne et de l'adapter à vos propres besoins.
La notification par e-mail est assez simple mais vous pouvez aller plus loin et l'e-mail nmap revient en arrière . En y réfléchissant, il pourrait être utile de faire passer l'IP via un whois, d'extraire l'e-mail d'abus et d'envoyer automatiquement un rapport d'abus lorsque vous interdisez un utilisateur (en expliquant pourquoi).
Vous pouvez également utiliser AIPA ( https://aipa.elineo.e ) pour bloquer les adresses IP répertoriées sur les listes noires comme abuseipdb.com, blocklist.de ou myip.ms
fail2ban fera exactement ce que vous avez décrit.
Il vérifie les connexions qui tentent de se connecter trop souvent. Vous pouvez faire quelques configurations avec fail2ban pour vérifier différentes situations et bannir une adresse IP pour une durée spécifique ou pour toujours. Et bien sûr, il peut vous envoyer un rapport de courrier.
Je l'utilise avec logcheck qui me donne une meilleure sortie lisible des messages fail2ban.