La configuration que j'utilise pour reaction.

Fonctionnalités

• bannir les bruteforce SSH
• bannir les bots web
• signaler les IP sur AbuseIPDB
• fonctionner aussi bien en IPv4 qu'en IPv6

Streams

• ssh
  • failedlogin : bruteforce SSH
  • failednegociation : scan de vulnérabilités
• grafana
  • failedlogin : bruteforce sur l'interface de login de Grafana
• haproxy
  • badreq : probablement du scan de vulns
  • blackhole : un honeypot (disallow dans robots.txt)
  • scanner : scan de vulnérabilités

Reporting

Le reporting des IP malveillantes se fait via AbuseIPDB. Prévoir un compte et une clé d'API.

Mise en place :

1. Éditer la variable abuseip_params pour ajouter les codes de reporting et messages correspondants
2. Ajouter la clé d'API dans /etc/reaction/abuseip.key (chmod 400)

Monitoring

Le monitoring est géré par Telegraf à travers le plugin exec. Un script maison permet d'interroger reaction et d'en sortir les stats.

Mise en place :

1. input_reaction.conf → /etc/telegraf/telegraf.d/input_reaction.conf
2. reaction.py → /etc/telegraf/collectors/reaction.py (penser à chmod u+x)
3. visudo → ajouter telegraf ALL=(root:root) NOPASSWD: /usr/bin/reaction show -f json

Ensuite les stats arrivent dans la stack de métriques (InfluxDB ici), prêtes à être affichées