notes-techniques/notes/serveur/fail2ban-postfix-sasl.md

# Sécuriser Postfix avec fail2ban

Cédrix - 2024-07-24

## Introduction

Le fichier [/etc/fail2ban/jail.local](_files/sshd-security/etc/fail2ban/jail.local) est un fichier de configuration pour [Fail2Ban](fail2ban.md) qui spécifie les "jails" à surveiller et les actions à entreprendre en cas de tentatives de connexion échouées ou malveillantes. Chaque jail est configurée pour surveiller un service particulier (comme SSH, Postfix, ou Pure-FTPd) en utilisant des fichiers de filtre définis dans des fichiers séparés, comme [/etc/fail2ban/filter.d/postfix-sasl.conf](_files/sshd-security/etc/fail2ban/filter.d/postfix-sasl.conf).

Pour renforcer la sécurité de nos services, nous allons configuré Fail2Ban pour surveiller et bloquer les tentatives de connexion malveillantes.

## Configurer les règles de filtrage postfix-sasl (Ban2Fail)

La configuration du fichier `/etc/fail2ban/filter.d/postfix-sasl.conf` pour Fail2Ban est utilisée pour détecter les échecs d'authentification SASL (Simple Authentication and Security Layer) dans les journaux de Postfix. Voici une explication détaillée de chaque section et ligne de ce fichier :


- **[INCLUDES]** : Cette section permet d'inclure des configurations communes avant de traiter les définitions spécifiques à ce filtre.
- **before = common.conf** : Inclut le fichier `common.conf` avant d'appliquer les définitions de ce fichier. `common.conf` contient des paramètres communs utilisés par plusieurs filtres.

- **[Definition]** : Cette section contient les définitions spécifiques au filtre.
- **_daemon = postfix/smtpd** : Définit le démon à surveiller, ici `postfix/smtpd`, qui est le processus de réception de courrier de Postfix.


- **failregex** : Cette directive définit les expressions régulières utilisées pour détecter les tentatives d'authentification échouées dans les journaux de Postfix. 

Les expressions régulières suivantes sont définies :

1. `warning: .*\[<HOST>\]: SASL LOGIN authentication failed` :
   - Cette regex correspond aux lignes de journal qui contiennent un avertissement indiquant un échec d'authentification SASL LOGIN. 
   - **<HOST>** est une variable utilisée par Fail2Ban pour capturer l'adresse IP de l'attaquant.

2. `improper command pipelining after CONNECT from .*\[<HOST>\]:` :
   - Cette regex correspond aux lignes de journal indiquant une tentative de connexion incorrecte après la commande CONNECT, souvent indicative de comportements suspects ou de tentatives de contournement des protocoles de sécurité.


- **ignoreregex** : Cette directive permet de définir des expressions régulières pour ignorer certaines lignes des journaux, même si elles correspondent à `failregex`. Dans ce cas, `ignoreregex` est vide, ce qui signifie qu'aucune ligne n'est ignorée.


## Vérifier la jail postfix-sasl (Fail2Ban)

L'utilisation de la commande `sudo fail2ban-client status postfix-sasl` est destinée à vérifier l'état du service Fail2Ban pour la jail spécifique `postfix-sasl`. Cette commande affiche des informations sur les adresses IP qui ont été bannies et les actions effectuées par Fail2Ban pour protéger le serveur de messagerie Postfix contre les tentatives de connexion SASL (Simple Authentication and Security Layer) échouées.

Voici comment cette commande fonctionne et ce que chaque partie signifie :

1. **sudo** : Exécute la commande avec des privilèges administratifs.
2. **fail2ban-client** : Interface en ligne de commande pour interagir avec le service Fail2Ban.
3. **status** : Paramètre de la commande Fail2Ban pour afficher l'état.
4. **postfix-sasl** : Nom de la jail pour laquelle l'état est demandé.

### Exemple de sortie de la commande

Lors de l'exécution de la commande, la sortie pourrait ressembler à ceci :

```
Status for the jail: postfix-sasl
|- Filter
|  |- Currently failed: 3
|  |- Total failed: 124
|  `- File list:    /var/log/mail.log
`- Actions
   |- Currently banned: 2
   |- Total banned: 5
   `- Banned IP list:   192.168.1.100 192.168.1.101
```

### Explication des résultats

- **Currently failed** : Nombre de tentatives de connexion échouées actuellement enregistrées.
- **Total failed** : Nombre total de tentatives de connexion échouées depuis la dernière réinitialisation.
- **File list** : Liste des fichiers de log surveillés pour détecter les tentatives de connexion échouées.
- **Currently banned** : Nombre d'adresses IP actuellement bannies.
- **Total banned** : Nombre total d'adresses IP bannies depuis la dernière réinitialisation.
- **Banned IP list** : Liste des adresses IP actuellement bannies.
ajout de fail2ban et des configurations pour sshd et postifx-sasl 2024-07-24 01:56:08 +02:00			`# Sécuriser Postfix avec fail2ban`

			`Cédrix - 2024-07-24`

			`## Introduction`

			Le fichier [/etc/fail2ban/jail.local](_files/sshd-security/etc/fail2ban/jail.local) est un fichier de configuration pour [Fail2Ban](fail2ban.md) qui spécifie les "jails" à surveiller et les actions à entreprendre en cas de tentatives de connexion échouées ou malveillantes. Chaque jail est configurée pour surveiller un service particulier (comme SSH, Postfix, ou Pure-FTPd) en utilisant des fichiers de filtre définis dans des fichiers séparés, comme [/etc/fail2ban/filter.d/postfix-sasl.conf](_files/sshd-security/etc/fail2ban/filter.d/postfix-sasl.conf).

			`Pour renforcer la sécurité de nos services, nous allons configuré Fail2Ban pour surveiller et bloquer les tentatives de connexion malveillantes.`

			`## Configurer les règles de filtrage postfix-sasl (Ban2Fail)`

			La configuration du fichier `/etc/fail2ban/filter.d/postfix-sasl.conf` pour Fail2Ban est utilisée pour détecter les échecs d'authentification SASL (Simple Authentication and Security Layer) dans les journaux de Postfix. Voici une explication détaillée de chaque section et ligne de ce fichier :


			`- [INCLUDES] : Cette section permet d'inclure des configurations communes avant de traiter les définitions spécifiques à ce filtre.`
			- before = common.conf : Inclut le fichier `common.conf` avant d'appliquer les définitions de ce fichier. `common.conf` contient des paramètres communs utilisés par plusieurs filtres.

			`- [Definition] : Cette section contient les définitions spécifiques au filtre.`
			- _daemon = postfix/smtpd : Définit le démon à surveiller, ici `postfix/smtpd`, qui est le processus de réception de courrier de Postfix.


			`- failregex : Cette directive définit les expressions régulières utilisées pour détecter les tentatives d'authentification échouées dans les journaux de Postfix.`

			`Les expressions régulières suivantes sont définies :`

			1. `warning: .*\[<HOST>\]: SASL LOGIN authentication failed` :
			`- Cette regex correspond aux lignes de journal qui contiennent un avertissement indiquant un échec d'authentification SASL LOGIN.`
			`- <HOST> est une variable utilisée par Fail2Ban pour capturer l'adresse IP de l'attaquant.`

			2. `improper command pipelining after CONNECT from .*\[<HOST>\]:` :
			`- Cette regex correspond aux lignes de journal indiquant une tentative de connexion incorrecte après la commande CONNECT, souvent indicative de comportements suspects ou de tentatives de contournement des protocoles de sécurité.`


			- ignoreregex : Cette directive permet de définir des expressions régulières pour ignorer certaines lignes des journaux, même si elles correspondent à `failregex`. Dans ce cas, `ignoreregex` est vide, ce qui signifie qu'aucune ligne n'est ignorée.




			`## Vérifier la jail postfix-sasl (Fail2Ban)`

			L'utilisation de la commande `sudo fail2ban-client status postfix-sasl` est destinée à vérifier l'état du service Fail2Ban pour la jail spécifique `postfix-sasl`. Cette commande affiche des informations sur les adresses IP qui ont été bannies et les actions effectuées par Fail2Ban pour protéger le serveur de messagerie Postfix contre les tentatives de connexion SASL (Simple Authentication and Security Layer) échouées.

			`Voici comment cette commande fonctionne et ce que chaque partie signifie :`

			`1. sudo : Exécute la commande avec des privilèges administratifs.`
			`2. fail2ban-client : Interface en ligne de commande pour interagir avec le service Fail2Ban.`
			`3. status : Paramètre de la commande Fail2Ban pour afficher l'état.`
			`4. postfix-sasl : Nom de la jail pour laquelle l'état est demandé.`

			`### Exemple de sortie de la commande`

			`Lors de l'exécution de la commande, la sortie pourrait ressembler à ceci :`

			```
			`Status for the jail: postfix-sasl`
			`\|- Filter`
			`\| \|- Currently failed: 3`
			`\| \|- Total failed: 124`
			\| `- File list: /var/log/mail.log
			`- Actions
			`\|- Currently banned: 2`
			`\|- Total banned: 5`
			`- Banned IP list: 192.168.1.100 192.168.1.101
			```

			`### Explication des résultats`

			`- Currently failed : Nombre de tentatives de connexion échouées actuellement enregistrées.`
			`- Total failed : Nombre total de tentatives de connexion échouées depuis la dernière réinitialisation.`
			`- File list : Liste des fichiers de log surveillés pour détecter les tentatives de connexion échouées.`
			`- Currently banned : Nombre d'adresses IP actuellement bannies.`
			`- Total banned : Nombre total d'adresses IP bannies depuis la dernière réinitialisation.`
			`- Banned IP list : Liste des adresses IP actuellement bannies.`