aide fail2ban

Le
François Patte
Bonsoir,


J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à
répétition pour des fichiers qui n'existent pas (erreur 404).


Dans /etc/fail2ban/jail.conf:

# Apache 404 FP, 18-01-2014
[apache-404]
enabled = true
filter = apache-404
port = http, https
logpath = /var/log/apache*/*access.log
banaction = iptables-allports
maxretry = 3


Dans /etc/fail2ban/filter.d/apache-404.conf

[Definition]

failregex = <HOST> - - [.*?] ".*?" 404

ignoreregex =

Avec cette config, j'ai, en vérifiant avec iptables -L:

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-apache-404 tcp -- anywhere anywhere

Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante Impossible d'obtenir le banissement!


Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine)

Y a bien des trucs que je ne maîtrise pas! A vot' bon cœur!

Merci



--
François Patte
Université Paris Descartes
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
yamo'
Le #25946832
Salut,

François Patte a tapoté, le 18/01/2014 19:45:
J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à
répétition pour des fichiers qui n'existent pas (erreur 404).




Je l'avais à un moment implémenté et c'était efficace ; une fois en
testant une nouvelle page en cours d'écriture, j'ai été banni de mon
propre serveur!

Je te conseille de lire :
je l'ai retrouvé dans mon historique de navigation, ça a donc du être la
bonne réponse de l'époque.

Dans les messages on parle de modsecurity
ça doit être :
; ce paquet n'est présent que dans oldstable, testing et sid!

--
Stéphane Vaut-il mieux parler bêtement de choses intelligentes
ou parler intelligemment de choses bêtes ?
-+- Philippe Geluck, Le chat -+-
Christophe PEREZ
Le #25947902
Le Sat, 18 Jan 2014 19:45:39 +0100, François Patte a écrit :

Je viens de le rajouter à mon fail2ban actif suite à ton post

# Apache 404 FP, 18-01-2014
[apache-404]
enabled = true
filter = apache-404
port = http, https
logpath = /var/log/apache*/*access.log
banaction = iptables-allports
maxretry = 3



Perso, en calcant sur mes autres configs, j'ai mis :
[apache-404]
enabled = true
filter = apache-404
action = iptables-multiport[, port="http,https"]
sendmail-buffered[, lines=5,
dest=root,senderúil2ban2]
logpath = /var/log/apache2/*-access_log
findtime = 40
bantime = 1800
maxretry = 5

(le choix du sendmail-buffered est un choix perso)


Dans /etc/fail2ban/filter.d/apache-404.conf

[Definition]

failregex = <HOST> - - [.*?] ".*?" 404

ignoreregex


tu as testé ton filtre et ton log avec une commande du genre :
fail2ban-regex /var/log/apache*/*access.log /etc/fail2ban/filter.d/
apache-404.conf
?

Tu es sûr de scanner le bon log ?
Ton filtre fonctionne sur mes logs.

Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante... Impossible d'obtenir le banissement!



Bon, je n'ai encore fait aucun test du genre puisque je viens de mettre
le filtre.

Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine...)



bizarre...

Pour info, j'ai fail2ban 0.8.10-r2.
Publicité
Poster une réponse
Anonyme