Super, quand on commence à faire des tutos sur la sécurité réseau, un problème survient toujours : c’est l’escalade. On cherche toujours plus de sécurité. Dans un précédent tutorial, je parle de l’utilisation d’iptables (le frontend de netfilter – le firewall de Linux) et de fail2ban.

Sauf que ce n’est pas si facile. La dernière version d’iptables disponible sur la plupart des distributions Linux n’est pas à jour ce qui ne permet pas d’utiliser la dernière version de fail2ban.

En effet, fail2ban (version 0.9.3) utilise l’option -w d’iptables qui n’est présente que depuis la version 1.4.20 de ce dernier. Nous allons donc voir ici comment on s’y prend.

Mise à jour d’Iptables

Récupération des sources d’iptables :

wget http://netfilter.org/projects/iptables/files/iptables-1.4.21.tar.bz2

Ensuite, on décompresse, on configure et on compile (il faut bien sur gcc, libc, libc-devel & make correctement installés sur le système) :

tar -jxvf iptables-xxxxxxx.tar.bz2
cd iptables-xxxxxxxxx
./configure --prefix=/usr --sbindir=/sbin --enable-libipq --with-xtlibdir=/lib/xtables
make

Maintenant, on passe en administrateur (root) :

make install &&
ln -sfv ../../sbin/xtables-multi /usr/bin/iptables-xml &&

for file in ip4tc ip6tc ipq iptc xtables
do
  mv -v /usr/lib/lib${file}.so.* /lib &&
  ln -sfv ../../lib/$(readlink /usr/lib/lib${file}.so) /usr/lib/lib${file}.so
done

Maintenant qu’iptables est installé, vous pouvez utiliser vos anciens scripts /etc/init.d/iptables … pour le lancer.

Mise à jour de Fail2ban

On récupère les sources et on décompresse :

wget https://github.com/fail2ban/fail2ban/archive/0.9.3.tar.gz
tar -zxvf 0.9.3.tar.gz
cd 0.9.3/
python setup.py install

Maintenant on va juste copier le script d’initialisation :

cp files/debian-initd /etc/init.d/fail2ban
chmod +x /etc/init.d/fail2ban
# Pour gentoo : gentoo-initd ...

Super, notre iptables est à jour, notre fail2ban également.