[BASH] Autoban iptables

[thxer]

Suite à notre discussion sur irc je me suis dit que ça peut interesser du monde.
J'ai fait un ensemble de petits scripts comme celui-ci qui check les logs Apache && SSH et qui ban les ip.
Le principe est simple : des tâches cron scannent les logs, et après ça append une liste ban.txt, de là tout les X temps les règles iptables sont mises à jours.

Exemple :

Code BASH :



# SSH banner by thxer

cd /home/script/iptables
for ip in `cat /var/log/auth.log | grep 'sshd.*Invalid'| awk {'print $10'} | sort -u `
do
        # On regarde si l'ip est déjà bannie
        if ! cat ban.txt | grep -q $ip
        then
                # Ban the IP
                echo $ip >> ban.txt  
                # Envoie d'un mail
                echo "TO: ex@ex.com" > mail.txt
                echo "From: alert@uk.server" >> mail.txt
                echo "Subject:Cron SSH ban" >> mail.txt
                echo  "SSH auth tentative banned : $ip" >> mail.txt
                cat mail.txt | msmtp ex@ex.com
        fi
done
 

Ajouter en crontab, créer d'autres règles sur les logs apaches etc ..

Code BASH :


#!/bin/bash

# Ban Zeus search Thxer
 
# On ban au bout de trois
TENTATIVES=3
 
# On cherche dans les X dernières ligne de log
LIGNES=50000
 
# on cherche ce motif
CHERCHE=jce
 
# Dans ce fichier log
LOG=/var/log/apache2/access.log
 

for ip in `tail -n $LIGNES $LOG | grep "$CHERCHE" | awk "{print \\$1}" | sort | uniq -c | sort -rn | head -20 | awk "{if (\\$1 > $TENTATIVES) print \\$2}"`
do
        # On regarde si déjà ban
        if ! cat ban.txt | grep -q $ip
        then
                # Ban de l' IP
                echo $ip  >> ban.txt
                # Envoi d'un mail
                echo "TO: ex@ex.com" > mail.txt
                echo "From: alert@ru.server" >> mail.txt
                echo "Subject:Cron New ban" >> mail.txt
                echo  "Apache access_log banned '$CHERCHE': $ip" >> mail.txt
                cat mail.txt | msmtp ex@ex.com
        fi
done
 

Le Script iptables qui vient récup le fichier ban.txt :

Code BASH :


#!/bin/bash
cd /home/script/iptables/
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

#---------------------------------------------------------------------------

#Inclure ban ip


if [ -f ban.txt ]; then
        for i in $(cat ban.txt)
        do
                /sbin/iptables -A INPUT -s $i -j DROP
                /sbin/iptables -A OUTPUT -d $i -j DROP
        done
fi

#{ etc ... }

/sbin/iptables-save
 

[notfound]

Holla, tout d'abord merci pour le partage.

Code BASH :


for ip in `cat /var/log/auth.log | grep 'sshd.*Invalid'| awk {'print $10'} | sort -u `
do
     ...
done
 

Bon, si t'as un fichier de log très grand, ton for ip in `cat ...` va être super lent, car ça stock tout en RAM. De plus, le cat|grep|awk est pas très élégant.
Je te propose cette petite optimisation :

Code BASH :


while read ip; do ... ; done < <(awk '/ssh.*Failed/{print $10}' /var/log/auth.log|uniq)
 

L'unicité peut se faire via awk aussi, ce qui permet de supprimer le pipe. Mais ça fait remplir un array[] etc, donc c'est plus chiant et uniq fait très bien le taff.

Ensuite, pour éviter de te fatiguer à taper des echo à tout va, tu pourrais faire :

Code BASH :


cat << EOGAME > mail.txt
TO: ex@ex.com
From: alert@uk.server
Subject:Cron SSH ban
SSH auth tentative banned : $ip
EOGAME
 

Mais bon c'est du détail ça.

Et enfin :

Code BASH :


for ip in `tail -n $LIGNES $LOG | grep "$CHERCHE" | awk "{print \\$1}" | sort | uniq -c | sort -rn | head -20 | awk "{if (\\$1 > $TENTATIVES) print \\$2}"`
do
        ...
done
 

Cette partie, j'attend d'avoir un exemple (comme dit sur irc) pour voir ce qu'on peut faire. Mais vu d'ici, ça se simplifie grandement.
Et même remarque pour le for truc in $(cat...), et les echo

La partie iptables semble ok

Enjoy

[gruik]

vite fait en passant, si je comprends bien le principe est de scanner *tout* le fichier de logs
si le fichier de logs rotate sur 1 semaine ou sur 1 mois on va scanner tout un tas de lignes pour rien et ça va ralentir sérieusement le processus
ce qu'il faudrait, ça serait qu'a chaque fois qu'on tail le fichier on ne traite que les lignes qui ont été écrites dans le fichier depuis le dernier tail
c'est précisément le propos de la commande logtail (ça doit faire partie du package logcheck possiblement)

pour tout le reste - et un traitement en temps réel - il y a sec qui mériterait bien quelques tutos sur son utilisation et est largement méconnu

ça c'est pour les solutions "faites maison", pour la solution usine à gaz il y a fail2ban évidement, mais qui marche très bien

[thxer]

Merci pour vos retour, effectivement je me troune vers fail2ban c'est plus carré