Comment savoir si ma protection contre la force brute (fail2ban) est active?

J'utiliserais le client de fail2ban pour la vérification, car il vous indique non seulement si le serveur est en cours d'exécution, mais également quelles jails sont activés. Ce sont des informations tout aussi importantes, car si un jail particulier n'est pas activé, fail2ban ne le surveille pas et ne l'exécute pas.

Pour vérifier le service:

$ Sudo fail2ban-client status

Vous devriez voir les informations dans /var/log/fail2ban.log si fail2ban a été démarré. Vous verrez également une sortie liée à l’activité fail2ban.

Pour voir si le processus est en cours d'exécution, utilisez pgrep ou ps:

$ pgrep fail2ban -fl
11189 fail2ban-server

$ ps -efww | egrep fail2ban 
root 11189 2662  0 16:29 ? 00:00:00 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid

Si vous avez installé failed2ban via le gestionnaire de packages ou le centre logiciel, vous devriez voir des entrées dans les répertoires/etc/rc * de fail2ban, qui indiquent (avec les paramètres par défaut et sans personnalisation) que son exécution sera lancée au démarrage.

$ find /etc/rc* | grep fail2
/etc/rc0.d/K99fail2ban
/etc/rc1.d/K99fail2ban
/etc/rc2.d/S99fail2ban
/etc/rc3.d/S99fail2ban
/etc/rc4.d/S99fail2ban
/etc/rc5.d/S99fail2ban
/etc/rc6.d/K99fail2ban

Vous pouvez utiliser:

[romano@pern:~] % ps augx | grep fail2ban 
root      1374  0.0  0.2 265592  9956 ?        Sl   jul29   0:12 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid

Si vous configurez correctement une adresse mail à laquelle envoyer des informations, vous recevrez un mail au démarrage et à l'arrêt du système, ainsi qu'un mail pour toute action (bannissement d'une adresse IP, etc.).

Il y a des informations intéressantes dans ce blog .