System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Installation et Configuration de Brutelock

brutelock jpg

Un peu de sécurité ! un concurrent pour Fail2ban ?

Brutelock est un programme qui surveille les divers journaux de logs d'un système et bloque immédiatement les IP malveillante visant à attaquer votre serveur.

Brutelock ne protège pas seulement contre les attaques ssh, mais aussi d'autres services communs, comme FTP, POP et IMAP etc...

Url du site officiel : http://www.brutelock.com/home/

Téléchargement :

cd /opt/SOURCES
wget http://www.brutelock.com/download/download.php?type=bz2
mv download.php\?type\=bz2 brutelock-1.1.0.tar.bz2
tar xvjf brutelock-1.1.0.tar.bz2
cd brutelock-1.1.0

Installation :

Très simple.

mkdir /opt/brutelock110
./configure --prefix=/opt/brutelock110
make
make install
ln -s /opt/brutelock110 /opt/brutelock

Configuration :

Enregistrement pour récupérer une clé :

Rendez vous à cette url : http://brutelock.com/subscribe/

Vous recevrez par la suite un clé par mail.

Éditez le fichier de configuration et ajoutez votre clef :

vi /opt/brutelock110
modifier :
KEY=

Création des tables netfilter :

Brutelock a besoin pour fonctionner d'un petite modification sur votre firewall iptables :

iptables -N Brutelock-Firewall-INPUT
iptables -I INPUT -j Brutelock-Firewall-INPUT

Création de la liste blanche :

Éditez le fichier /opt/brutelock/conf/whitelist et ajoutez y les adresses ip de confiance (oubliez pas celle de l'hôte).

Démarrer Brutelock :

/opt/brutelock/bin/brutelockd

Vérifiez qu'il est bien lancé :

ps -ef | grep brutelock
root     14448     1  0 12:47 pts/0    00:00:00 /opt/brutelock/bin/brutelockd
root     14450 12345  0 12:47 pts/0    00:00:00 grep brutelock

Voila Brutelock est en place mais il vous faudra étudier un peu le fichier de conf qui est : brutelock.conf

[sshd]
LOG=/var/log/secure
MAX_ATTEMPT=4
PATTERN=.*sshd*.*authentication failure.*rhost=([^ ]*).*
  • LOG : Le fichier de log de l'application.
  • MAX_ATTEMPT : Nombre de tentative avant blocage de l'ip.
  • PATTERN : Donnée activant le comptage (max_attempt) avant blocage de l'ip.

Il est assez simple de l'adapter aux différents services existant, mais il va falloir vous mettre aux expressions régulières.

Par GanGan | le jeudi, janvier 21 2010 07:00