• [^] # Re: Retour d'expérience

    Posté par . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 4.

    C'est délicat d'agir sur du 404 car ce n'est pas forcément la faute du visiteur !

    Par exemple des personnes peuvent avoir suivi des liens obsolètes, trouvés depuis des sites externes...

    Et même avec le critère de répétition ce n'est pas évident, par exemple :
    - un site web a dans sa charte graphique un picto (affiché sur toutes les pages, par ex dans le footer)
    - un jour quelqu'un édite le site et sans faire attention supprime/déplace/renomme ce fichier image
    - alors chaque page visitée va générer une erreur 404 en essayant d'afficher ce picto manquant
    - en plus ça peut durer longtemps comme ça, sans que personne ne remarque et remonte l'absence du picto

    Je suis toujours très prudent avec les faux-positifs (comme avec les règles antispams) qui peuvent être très facheux ou gacher l'utilité de la protection, surtout dès qu'il s'agit de services accessibles au public.

    Dans le cas présent, je vais préférer utiliser des règles plus précises sur des URL vraiment douteuses.
    Par exemple sur les requêtes qui tentent de trouver des fichiers sensibles (.htpasswd, .env, auth.json...) je configure mon serveur web pour les bloquer (accès interdit 403) et je rajoute un fail2ban sur les accès interdits à répétition (histoire de limiter le bruit dans mes logs web, réduire la charge du serveur et empêcher d'autres tentatives d'attaque peut-être moins infructueuses).