Installer fail2ban 0.10, IPv6 ready sur Debian

Fail2ban est un outil qui permet d’identifier les comportements suspects sur votre machine et le cas échéant de bloquer l’adresse IP responsable de ceux-ci afin de protéger votre serveur.
Oui mais … c’est seulement depuis fail2ban 0.10 que l’outil est capable de bloquer les adresses IPv6.
Et là ou le bât blesse, c’est que l’IPv6 se répand de plus en plus;

vous avez probablement une adresse IPv6 attribuée par votre ISP (Internet Service Provider)
la plupart des sites internet répondent en IPv4 et IPv6

et que la version installée avec Debian 9 est encore la version 0.9.6 qui ne bloque/banni que les adresses IPv4

fail2ban 0.10 – IPv6 ready

fail2ban-ipv6-log

A partir de fail2ban 0.10, l’outil permet donc de bloquer des adresses IPv4 et IPv6.

Avec les version précédentes, si votre serveur répond en IPv4 et IPv6,
lors d’une tentative de « brute-force login » (tentative de connexion multiple),
l’adresse IPv4 sera bannie MAIS votre serveur continuera de résoudre l’adresse IPv6 et donc ne bloquera pas l’attaque.
Vous aurez juste redirigé le traffic (l’attaque) depuis votre IPv4 vers l’IPv6 mais pas bloqué l’attaque.

Comment installer fail2ban 0.10 ?

Comme pour tous les packages, vous avez différentes possibilités pour l’installer

Télécharger le package directement depuis https://packages.debian.org/
Télécharger les sources depuis GitHub
Télécharger depuis les archives

Vérifier la version de fail2ban installée

Pour celà, commencez par installer apt-show-versions:

# apt-get install apt-show-versions

Une fois installé, un petit coup d’oeil sur l’aide afin de savoir comment utiliser l’outil:

# apt-show-versions -h
Apt-Show-Versions v.0.22.6 (c) Christoph Martin

Usage:
apt-show-versions shows available versions of installed packages.

Options:
-stf|–status-file= Use as the dpkg status file instead
of /var/lib/dpkg/status
-ld|list-dir= Use as path to apt’s list files instead
of /var/state/apt/lists/ or /var/lib/apt/lists/
-p|–package=<package> Print versions for <package>.
-r|–regex Read package with -p as regex
-R|–regex-all Like –regex, but also show not installed packages.
-u|–upgradeable Print only upgradeable packages
-a|–allversions Print all available versions.
-b|–brief Short output.
-nh|–nohold Don’t treat holded packages.
-i|–initialize Initialize or update package cache only (as root).
-v|–verbose Verbose messages.
-V|–version Prints apt-show-versions version
-h|–help Print this help.

Ensuite, vous pouvez vérifier la version installée sur votre serveur avec la commande:

# apt-show-versions fail2ban
fail2ban:all 0.10.2-dev1 newer than version in archive

Vérifier les versions disponibles

Et si vous désirez connaître les versions disponibles dans les archives:

# apt-show-versions -a -p fail2ban
fail2ban:all 0.10.2-dev1 install ok installed
fail2ban:all 0.9.6-2 stable ftp.debian.org
fail2ban:all 0.9.6-2 stretch ftp.debian.org
fail2ban:all 0.10.2-2 testing ftp.debian.org
fail2ban:all 0.10.2-2 sid ftp.de.debian.org
fail2ban:all 0.10.2-dev1 newer than version in archive

Sur mon serveur, on voit que j’utilise une version plus récente (0.10.2-dev1) que celle disponibles dans les archives.
Je l’ai installée depuis https://ncomputers.org/

Vous pouvez également obtenir cette information en cherchant le package fail2ban sur https://packages.debian.org

Pour rappel, afin de pouvoir bannir les adresses IPv6, il vous faut au moins fail2ban 0.10,
comme vous pouvez le voir, une version suppérieur à fail2ban 0.10 est disponible dans « testing ».