En root :
apt install fail2ban
Fail2ban est un service, une fois installer il se lancera automatiquement, et sera actif au démarrage de la machine.
Exemple pour ssh, taper: fail2ban-client status sshd
Exemple pour ssh, taper: fail2ban-client set sshd banip 192.168.1.2
fail2ban-client set sshd unbanip 192.168.1.2fail2ban-client unban –all
La configuration générale se trouve dans la section[DEFAULT], modifiable en root dans /etc/fail2ban/jail.conf. Ces configurations sont appliquées si elles ne sont pas indiquées dans les jails.
bantime = 50mmaxretry = 3findtime = 5mignoreip = 127.0.0.1/8 192.168.1.0/8 42.50.26.154
Après un changement dans la configuration, relancer fail2ban en root: service fail2ban restart
En root, dans /etc/fail2ban/jail.conf, chercher la section [sshd], voir exemple de configuration ci-dessous.
[sshd] enabled = true port = ssh logpath = %(sshd_log)s backend = %(sshd_backend)s maxretry = 2 bantime = 30m findtime = 2m
En root, à la fin de /etc/fail2ban/jail.conf, ajouter la jail [samba] comme ceci:
[samba] enabled = true port = 135,139,445,137,138 filter = samba logpath = /var/log/syslog
En root, ajouter le fichier filtre /etc/fail2ban/filter.d/samba.conf, et le remplir avec ceci:
[INCLUDES]
before = common.conf
[Definition]
_daemon = smbd
failregex = ^%(__prefix_line)s.*[aA]uthentication for user .* from <HOST> .* FAILED\s.*$
^%(__prefix_line)s.*Failed [-/\w]+ for .* from <HOST>\s.*$
^%(__prefix_line)s.*ROOT LOGIN REFUSED .* FROM <HOST>\s.*$
^%(__prefix_line)s.*[iI](?:llegal|nvalid) user .* from <HOST>\s.*$
^%(__prefix_line)s.*Denied connection from <HOST>\s.*$