Utilisation de Fail2Ban pour bannir selon une URL
J'ai découvert ce matin qu'un de mes serveurs Apache était bombardé de requêtes concernant un site non hébergé. J'avais déjà installé Fail2Ban et j'en ai profité pour le découvrir un peu plus en profondeur. Je me suis essentiellement basé sur l'article de Buzut : Installer et paramétrer Fail2Ban
Il suffit de créer un filtre nom_du_filtre.conf dans le dossier /etc/fail2ban/filter.d Dans ce fichier, mettre
[Definition]
failregex = une_regex_qui_va_bien
ignoreregex =
Par exemple, j'avais des tentatives de "connexion" à Instagram, j'ai donc créé le filtre instagram.conf et j'ai mis
[Definition]
failregex = <HOST> .*CONNECT.*instagram.*
ignoreregex =
Ensuite, modifier le fichier /etc/fail2ban/jail.conf et ajouter les lignes concernant la nouvelle règle :
[nom_du_filtre]
enabled = true
filter = nom_du_filtre
port = 80,443 # tous les ports par défaut
logpath = /var/log/apache2/access.log
maxretry = 5
findtime = 120
bantime = 300
Recharger Fail2Ban par sudo systemctl reload fail2ban
À noter que j'utilise Apache comme serveur web, il peut donc y avoir quelques modifications pour nginx.