Identification FTP
Une adresse distante peut tenter de se connecter à de multiples occasions au serveur FTP. Que ce soit volontaire ou non, ceci engendre un cumul d’alertes dans le journal du serveur :
Nov 1 01:02:03 serveur pure-ftpd: (?@111.222.333.444) [WARNING] Sorry, cleartext sessions are not accepted on this server.#012Please reconnect using SSL/TLS security mechanisms.
Pour bloquer ce serveur distant parasite avec Fail2ban :
echo -e '[Definition]
__errmsg = (?:Authentication failed for user|Sorry, cleartext sessions are not accepted on this server)
failregex = pure-ftpd: \(.+?@\) \[WARNING\] %(__errmsg)s.*$
ignoreregex =' > /etc/fail2ban/filter.d/pure-ftpd.conf
echo -e '[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 6' >> /etc/fail2ban/jail.conf
/etc/init.d/fail2ban reload
Une fois que Fail2ban aura détecté des alertes répétées correspondant au filtre mis en place, il activera la protection et l’indiquera dans son propre journal.
tail /var/log/fail2ban.log
fail2ban.actions: WARNING [pure-ftpd] Ban 203.126.99.218