Pyruse 1.0 : une solution alternative à Fail2ban et Epylog

Par:
fredericmazue

mer, 14/02/2018 - 14:30

Tous les administrateurs de systèmes de type UNIX (Linux, etc.) connaissent fail2ban. Un peu moins connu est Epylog. Le développeur inspiré Yetl  propose une très intéressante alternative libre à ces deux outils.

Fail2ban scrute en permanence les logs du système, à la recherche d'erreurs de connexion, ou de tentatives d'attaque. Il réagit à cela en fermant le port attaqué pour l'IP attaquante avec Iptables.

Epylog scrute en permanence les logs du système pour les analyser, les retranscrire en données plus humainement lisibles et envoyer des rapports par mail à l'administrateur.

Deux outils indispensables à l'administrateur, mais qui ont tous deux en commun de scruter en permanence les logs, ce qui est un gaspillage de ressources. En dépit des inestimables services qu'ils rendent, ils ont également en commun le fait que leurs possibilités de configuration pourraient être améliorées.

Pyruse, écrit lui aussi en Python (un langage qui va bien, ça va tellement bien :-) procède différemment. Pyruse est en quelque sorte abonné au journal système de systemd et se contente de pousser chaque entrée lue du journal dans un workflow constitué de filtres et d’actions. Les filtres sont à base d'expressions rationnelles compatibles Perl (pcre), avec sauvegarde des valeurs capturées. Très intéressant, les filtres peuvent aussi détecter des connexions réussies pour placer les IP concernées dans des listes blanches, pendant un temps déterminé.

Pyruse est très facile à utiliser, ses possibilités de configuration sont riches, et, construit sur une architecture de modules, il est très facilement extensible. L'auteur accueille d'ailleurs volontiers les contributions.

Un beau logiciel dans un beau projet.

Plus d'informations.

Code source de Pyruse.