feat: bannissement IP via fail2ban depuis le tableau 404 #41

New issue

Closed

opened 2026-05-06 10:55:00 +00:00 by Cédric A5L · 2 comments

Cédric A5L commented 2026-05-06 10:55:00 +00:00

Owner

Copy link

Bouton par IP dans le détail 404 pour bannir via fail2ban-client set global-blacklist banip <ip>.
Nécessite une règle sudo NOPASSWD pour un compte des service dédié. Message d'erreur explicite si non configuré.

Bouton par IP dans le détail 404 pour bannir via `fail2ban-client set global-blacklist banip <ip>`. Nécessite une règle sudo NOPASSWD pour un compte des service dédié. Message d'erreur explicite si non configuré.

Cédric A5L referenced this issue from a commit 2026-05-06 10:57:17 +00:00

feat: page Erreurs 404 — logs, détail IP/date/referer, ignore, ban fail2ban

Cédric A5L commented 2026-05-06 11:05:57 +00:00

Author

Owner

Copy link

Implémentation livrée — commit 0513afd

Le bouton 🔨 est présent dans le détail de chaque IP.
La route /errors/ban exécute :

sudo fail2ban-client set global-blacklist banip <ip>

Configuration requise sur le serveur

Ajouter dans /etc/sudoers.d/static-cdn (via visudo) :

# Remplacer <compte-service> par le compte qui exécute Gunicorn
<compte-service> ALL=(ALL) NOPASSWD: /usr/bin/fail2ban-client set global-blacklist banip *

Actuellement le service tourne sous abonnelc. Si un compte dédié est créé, mettre à jour /etc/systemd/system/static-cdn.service (User=) et le fichier sudoers.

Si le sudo nest pas configuré, le bouton affiche un message derreur explicite sans planter lapp.

## Implémentation livrée — commit `0513afd` Le bouton 🔨 est présent dans le détail de chaque IP. La route `/errors/ban` exécute : ``` sudo fail2ban-client set global-blacklist banip <ip> ``` ### Configuration requise sur le serveur Ajouter dans `/etc/sudoers.d/static-cdn` (via `visudo`) : ``` # Remplacer <compte-service> par le compte qui exécute Gunicorn <compte-service> ALL=(ALL) NOPASSWD: /usr/bin/fail2ban-client set global-blacklist banip * ``` Actuellement le service tourne sous `abonnelc`. Si un compte dédié est créé, mettre à jour `/etc/systemd/system/static-cdn.service` (`User=`) et le fichier sudoers. Si le sudo nest pas configuré, le bouton affiche un message derreur explicite sans planter lapp.

Cédric A5L closed this issue 2026-05-06 11:05:57 +00:00

Cédric A5L reopened this issue 2026-05-06 11:07:57 +00:00

Cédric A5L commented 2026-05-06 11:07:57 +00:00

Author

Owner

Copy link

Erreur rencontrée

sudo: un terminal est requis pour lire le mot de passe
sudo: il est nécessaire de saisir un mot de passe

Cause : la règle NOPASSWD nétait pas configurée sur le serveur.

Résolution appliquée sur le serveur

echo 'abonnelc ALL=(ALL) NOPASSWD: /usr/bin/fail2ban-client set global-blacklist banip *' \
  | sudo tee /etc/sudoers.d/static-cdn-fail2ban
sudo chmod 440 /etc/sudoers.d/static-cdn-fail2ban

Test validé : ban + unban de 1.2.3.4 sans mot de passe. ✓

## Erreur rencontrée ``` sudo: un terminal est requis pour lire le mot de passe sudo: il est nécessaire de saisir un mot de passe ``` Cause : la règle `NOPASSWD` nétait pas configurée sur le serveur. ## Résolution appliquée sur le serveur ```bash echo 'abonnelc ALL=(ALL) NOPASSWD: /usr/bin/fail2ban-client set global-blacklist banip *' \ | sudo tee /etc/sudoers.d/static-cdn-fail2ban sudo chmod 440 /etc/sudoers.d/static-cdn-fail2ban ``` Test validé : ban + unban de `1.2.3.4` sans mot de passe. ✓

Cédric A5L closed this issue 2026-05-06 11:07:57 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

No results found.

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: alpinux.cedrica5l/alpinux-static#41

No description provided.