De l'intérêt de fail2ban

Bonjour,
Je ne sais pas si c’est autorisé de relayer un sujet d’un autre Forum ?
Loin de moi l’idée de lancer un troll, ni de provoquer qui que ce soit…
Ce sujet De l’intérêt de fail2ban
sur debian-fr.org m’a interpellé sachant que Yunohost utilise Fail2ban…
Qu’en pensez-vous ?

1 Like

Beh du coup je comprends pas ce que tu veux dire exactement, en parcourant le thread rapidement ça explique bien l’interêt réel et concret du truc même si c’est loin d’être une solution ultime …?

2 Likes

J’avais trouvé les avis partagés, voire contradictoires…

1 Like

Perso, je trouve ça utile, rien que pour tourner le bouton de squelch vis-à-vis des agresseurs brute force/dictionary attack.

Un jail sur ssh (que j’ai laissé en 22), un jail sur les e-mails (smtp/imap) , un jail sur Wordpress/wp-login, et tout ça est remonté dans abuseipdb via les actions.

J’ai 100 à 200 reports par jour, c’est grâce à la règle de firewall ‘drop’, sinon c’est en dizaine de milliers de tentatives par jour qu’il faudrait compter.

2 Likes

Ouais la sécurité informatique c’est comme s’habiller par les jours de grand froid, pour être efficaces il faut plusieurs couches :wink:

Sans Fail2Ban, le WordPress de @fritz2cat serait plus lent car il traiterait une par une les demande d’authentification.

En plus de Fail2Ban y’a des listes tels que ceux-ci : https://iplists.firehol.org/ mais lorsque IPTables à trop d’entrée il ralenti le trafic réseau, alors Fail2Ban demeure intéressant et facile à gérer.

@Melina j’ai pas tout lu la discussion mais ça ressemble plus à un nigaud qui troll, y semble y avoir seulement une personne contre Fail2Ban.

2 Likes

Étant l’auteur du fil partagé par @Melina, je peux préciser un peu le contexte de son ouverture.

Depuis des années que je suis divers forums d’entraide informatique, j’ai souvent vu la recommandation donnée à des débutants cherchant des conseils pour leur premier serveur d’y installer fail2ban comme “première ligne de défense”.

Étant à côté de ça administrateur système de métier, ce conseil me semble aller à l’encontre de ma compréhension du fonctionnement de fail2ban. Mais ne l’utilisant pas moi-même, il était tout à fait possible que je passe à côté de cas d’utilisation moins évidents.

J’ai donc lancé ce fil sur debian-fr.org pour recueillir des retours d’expérience d’utilisateurs de fail2ban pour comprendre si oui ou non il peut jouer un rôle comme outil de sécurisation de serveurs, et si oui quel genre de rôle.

Après deux semaines d’échange, il semble que fail2ban soit utilisable dans des contextes de monitoring, ou pour alléger les logs au même titre qu’un changement de port pour les services les plus attaqués comme SSH. Mais pas comme l’outil de sécurisation qui est souvent promis aux débutants, ce qui rend ce conseil récurrent malavisé.

1 Like

Ce qui te pose soucis est plus d’un problème de mauvaise communication qu’autre chose par rapport a l’outil, il me semble.

Inutile de refaire le débat que tu as lancé sur l’autre forum. Ça ne s’applique pas vraiment a Yunohost étant donné que la mise en place est automatisée, que les devs ne promettent pas monts et merveilles grâce à lui et que ses avantages sont tout de même démontrés, entre autres via le sujet sur l’autre forum. Dans le present sujet, @fritz2cat et @JOduMonTreal donnent aussi de bons éléments.

2 Likes

Bonjour,

Pour essayer (c’est un essai, hein ! :sweat_smile: ) de prendre un peu de hauteur :

J’aurais tendance à compléter les propos de @SohKa en insistant d’abord sur l’idée (fausse) du débutant qu’un outil installé répondra à sa demande de sécurisation. On remarque ainsi que de nombreux débutants, cherchant à « sécuriser » leurs machines, commencent par chercher un antivirus, un antibiduletruc, un fail2ban,… etc plutôt que monter en compétences.

Et mon sentiment personnel est que cela n’est pas totalement étranger à deux points :

  • la comm’ réalisée par les distributeurs de ces outils (« installez-moi, vous serez en sécurité »…),
  • la facilité (il est plus simple pour le débutant de faire un double clic pour installer un truc que d’apprendre les bonnes pratiques de l’adminsys en terme de sécurité… :sob:

Sur le terrain, combien ai-je croisé d’adminsys utilisant un simple mot de passe type « admin (avec un @ à la place du a :sweat_smile: ) » sur leur réseau pour des accès root ? Beaucoup…

Combien ai-je croisé d’adminsys se croyant en sécurité derrière un simple et unique parefeu, mal configuré en plus, sur leur réseau ? Beaucoup…

Et combien de ceux-là ai-je vu ensuite en difficulté ? « Très Beaucoup ! » :joy:

Bref, tout cela pour dire, avec une pointe d’humour, que les débutants (et pas toujours qu’eux…) sombres rapidement dans la facilité, et on ne peut pas vraiment le leur reprocher si ce n’est pas leur métier. Mais peut-être que le travail des « experts » pourrait être d’aider à la compréhension et à l’application des bonnes pratiques (ce que je n’ai que rarement vu fait de manière pédagogique, sans vouloir offenser personne ici).

Voilà, espérant ne pas avoir mis trop le bazar avec mon poste :crazy_face:

Sangokuss.

1 Like

Pour répondre / compléter la dessus : le truc c’est que la “sécurité” est un mot creux si l’on ne précise pas la sécurité de quoi/qui, contre quoi/qui, et quel prix (en terme de temps/argent/complexité/liberté/…) on est prêt à mettre. (C’est valable aussi en dehors de l’informatique.) Chercher à protéger un serveur des attaques automatiques c’est pas la même chose que chercher à se protéger d’un proche malveillant, et c’est pas la même chose de vouloir se protéger de la NSA.

Deuxièmement la sécurité n’est pas un problème technique auquel on réponds par la technique. Il s’agit bien souvent d’un truc humain et collectif, parce qu’il suffit que 5% ou 1% de tes users (par ex des employés d’une boite) choisissent un mauvais mot de passe ou tombent dans le panneau d’attaque de phishing etc pour que les efforts de sécurisation par la technique tombent à l’eau.

Et enfin, comme j’essaye de le glisser à droite à gauche sur ce forum : attention au faux sentiment de sécurité : si tu crois que ton serveur est sécurisé parce que t’as un A+ sur SSLlabs ében … goude leuk

Bref, la sécurité automagique n’existe pas, car on ne peut pas savoir contre quoi l’admin espère être protégé et quel trade-off coût vs. sécurité iel est prêt à mettre. (Ce qui ne veut pas dire qu’il ne faut pas installer fail2ban / firewall / https par défaut automatiquement dans yunohost ;))

3 Likes

Exact. Je n’ai absolument aucun souci avec fail2ban lui-même, mais plutôt avec la manière dont il est souvent présenté.


C’est bien pour ça que j’ai ouvert le fil sur debian-fr.org :wink:

Le premier point que soulève @Aleks est une évidence, mais pour bcp, ça va sans doute mieux en le disant explicitement. :+1:

Je ne suis pas d’accord sur ce point : ce n’est pas l’un ou l’autre, mais bien les deux. D’ailleurs, l’aspect humain est bien partie intégrante du technique, et fait partie de toutes formations cyber qui se respectent. Bref, vouloir opposer le technique à l’humain est un non sens qui, à mon avis (ça n’engage que moi, hein ! :wink: ) ne mène qu’à la situation actuelle : catastrophique.

Sur ce dernier point, je suis plus mitigé. Car lorsqu’on utilise Yunohost pour s’autohéberger, on connaît déjà un peu le profil de base des admins :joy:
Et, plus sérieusement, ce point mériterait davantage de réflexion :

  • définir le minimum à atteindre (à mon sens, Yunohost est une bonne base, mais en l’état, je ne mettrais pas le mien en front) ;
  • il y a sans doute une réflexion à conduire quant aux niveaux de sécurité des apps installables également.

Bref, oui, fail2ban n’est qu’une pièce, qui a son rôle sur l’échiquier, mais peu importante quant à la fin de la partie. :wink:

1 Like

Yes, vu mais j’interviens peu sur ce forum, j’avoue ! Honte à moi :joy:

1 Like

Ouaip sorry je cherchais pas à opposer les deux, mon propos était + de dire que les geeks/nerds ont tendance à vouloir résumer les problèmes aux aspects techniques et minimiser l’aspect humain ou alors balayer cet aspect avec un méprisant “Ah mais après si les gens sont cons on peut rien faire”.

Oui et non, déjà il y a potentiellement pleins de profils différents, et surtout de contexte différent : tu peux te retrouver à faire du yunohost dans un contexte perso (par ex stocker des papiers administratifs ou des photos persos), gérer une entreprise, publier un service ouvert utilisé par pleins de gens, ou bien gérer des outils internes d’une asso militante. Dans ce cas les modèles de menaces ne sont pas les mêmes.

YunoHost te protège par défaut contre certains d’entre eux (par ex. les attaques automatiques), mais pas tous. Par exemple, il n’y a pas spécialement de protection pour des gens qui voudraient vandaliser un etherpad dont l’adresse du pad serait publique … Et Yunohost ne peut pas garantir de protection contre un acteur étatique qui veut cibler une asso militante. Bref, la sécurité c’est vaste ¯\_(ツ)_/¯

1 Like

Mouai… Moyen d’accord là, sur ta 1ère phrase ! :sweat_smile: Mais pas sûr que ce soit le lieu pour en parler dans le détail :wink:

100% d’accord pour le reste :+1:

1 Like

@Sango Si tu as connaissances de failles ou d’attaques automatisés dont nous n’avons visiblement/peut être pas conscience: Security team | Yunohost Documentation

2 Likes