Fail2ban - des logs dans postgres
Ayant mis fail2ban sur mon serveur, je me suis dit qu'il pourrait être intéressant de garder des logs dans un coin, histoire de savoir qui a tendance à revenir 15 fois se faire banir sur mon serveur.
Voici donc le petit bout de code qui va bien :
Dans fail.conf :
Et dans action.d/savetopostgres.conf :
Simple, efficace... Et tout bonnement bien, dirais-je. Cela me permettra de sortir des listings des IP qui reviennent. Je pourrais même me faire un script qui me sort les plages IP à virer (pas mal de Chine d'ailleurs).
Et ça marche bien :D
Happy Sec!
Tengu
Voici donc le petit bout de code qui va bien :
Dans fail.conf :
[ssh-iptables] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=titi@toto.com, sender=fail2ban@toto.com] savetopostgres[name=SSH] logpath = /var/log/auth.log maxretry = 5
Et dans action.d/savetopostgres.conf :
[Definition] actionstart = actionstop = actioncheck = actionban = <psqlpath> -h localhost -U <psqlusr> -c "insert into fail2ban (date, ip, type) values (now(), '<ip>', '<name>')" -d <psqldbname> actionunban = [Init] psqldbname = fail2ban psqlusr = titi psqlpath = /usr/bin/psql psqlcmd = insert into fail2ban (date, ip, type) values (now(), '<ip>', '<name>')
Simple, efficace... Et tout bonnement bien, dirais-je. Cela me permettra de sortir des listings des IP qui reviennent. Je pourrais même me faire un script qui me sort les plages IP à virer (pas mal de Chine d'ailleurs).
Et ça marche bien :D
Happy Sec!
Tengu
