Administrators, autoreview, Vérificateurs d’utilisateurs, checkuser-log, editor, reviewer, usersnoop
3 321
modifications
« Libapache2-mod-evasive » : différence entre les versions
Aller à la navigation
Aller à la recherche
→Configuration basique de Mod_evasive : Remarques...
(→Configuration basique de Mod_evasive : Remarques...) |
|||
| Ligne 63 : | Ligne 63 : | ||
#''DOSBlockingPeriod'' détermine la durée de blocage. | #''DOSBlockingPeriod'' détermine la durée de blocage. | ||
#''DOSEmailNotify'' permet qu’un email soit envoyé à chaque blocage d’adresses IP. | #''DOSEmailNotify'' permet qu’un email soit envoyé à chaque blocage d’adresses IP. | ||
#''DOSSystemCommand'' permet de définir une commande bien précise en cas d’attaque (bannissement de l’adresse IP dans IPTables par exemple).<code>DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"</code>Ou encore<code>DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"</code> | #''DOSSystemCommand'' permet de définir une commande bien précise en cas d’attaque (bannissement de l’adresse IP dans IPTables par exemple).<code>DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"</code>Ou encore<code>DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"</code> '''Vous pouvez passer n'importe quelle commande du moment que www-data est autorisé à le faire. A ce sujet, plutôt que d'autoriser www-data à manipuler Iptables, utilisez fail2ban...''' Voir ci-dessous le lien. | ||
#''DOSLogDir'' détermine le chemin ou seront stockés les logs d’attaques. | #''DOSLogDir'' détermine le chemin ou seront stockés les logs d’attaques. | ||
#''DOSWhiteLt'' définie une liste blanche d’adresse IP. | #''DOSWhiteLt'' définie une liste blanche d’adresse IP. | ||
| Ligne 76 : | Ligne 76 : | ||
/etc/init.d/apache2 restart | /etc/init.d/apache2 restart | ||
=== Remarques sur DOSEmailNotify === | |||
Pour que la commande fonctionne, il faut créer un lien symbolique de /usr/sbin/mail vers /bin/mail | |||
En effet, le module cherche l'exécutable /bin/mail; Or celui-ci n'est pas à cet endroit... | |||
ln -s /usr/bin/mail /bin/mail | |||
=== Remarque sur Iptables === | |||
Pour que le ban par mod-evasive fonctionne, il faut que www-data ait le droit de modifier iptables. Or, cela peut s'avérer TRèS DANGEREUX... | |||
Il est donc conseillé de se servir à la place de fail2ban qui prendra le relais... | |||
[[Fail2ban#Fail2ban_avec_mod-evasive| Fail2ban avec mod-evasive]] | |||
== test == | == test == | ||