fail2ban

Le
flanker
Utilisant ssh pour maintenir les PC de mes proches (famille, amis)
j'ai installé pour parer aux attaques par force brute.

Environnement : Debian testing, Freebox en mode routeur (les ports qui
vont bien redirigés sur ma machine), pas d'autre firewall pour le momen=
t.

Installation apparament sans pb, fichier de conf par défaut accepté
(joint ci-dessous).

Sauf que ça marche pas

Depuis chez ma mère j'ai tente plusieurs connexion avec de mauvais mots=

de passe sans jamais être banni. Pire, aucune trace dans le fichier de =

log (voir ci-dessous).

J'ai du louper quelque-chose, oui mais où ?

Résultats des commandes :

# /etc/init.d/fail2ban status
* Status of authentication failure monitor


* fail2ban is running



# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh,sftp

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN 0 -- anywhere anywhere

# zcat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk
'{print $1,$2}' | sort | uniq -c

zcat: /var/log/auth.log: not in gzip format

zcat: /var/log/auth.log.0: not in gzip format
10 May 22
28 May 24
34 May 26
2 May 29

(aucune trace de mes tentatives de cet après-midi)


Fichier /etc/fail2ban/jail.conf
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be
override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Availab=
le
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expecte=
d
# This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = vgay@salug-fr.org

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport


#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s"]
mail-whois[name=%(__name__)s, dest="%(destemail)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s"]
mail-whois-lines[name=%(__name__)s,
dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action. To change, just override value of 'action'
with the
# interpolation to the chosen action shortcut (e.g. action_mw,
action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 wh=
ich
# was shipped in Debian. Please enable any defined here jail by including=

#
# [SECTION_NAME]
# enabled = true
#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 6


[ssh-ddos]

enabled = false
port = ssh,sftp
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 6

[apache-noscript]

enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

#
# FTP servers
#

[vsftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled = false
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log


[couriersmtp]

enabled = false
port = smtp,ssmtp
filter = couriersmtp
logpath = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, s=
o
# all relevant ports get banned
#

[courierauth]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log


[sasl]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log


Merci d'avance


--
Vincent Gay - mailto:vgay@salug-fr.org
"Il y a assez de tout dans le monde pour satisfaire aux besoins de
l'homme, mais pas assez pour assouvir son avidité". (Gandhi)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gerbier
Le #1889192
Utilisant ssh pour maintenir les PC de mes proches (famille, amis...)
j'ai installé pour parer aux attaques par force brute.

Environnement : Debian testing, Freebox en mode routeur (les ports qui
vont bien redirigés sur ma machine), pas d'autre firewall pour le moment.

Installation apparament sans pb, fichier de conf par défaut accepté
(joint ci-dessous).

Sauf que ça marche pas...

Depuis chez ma mère j'ai tente plusieurs connexion avec de mauvais mots
de passe sans jamais être banni. Pire, aucune trace dans le fichier de
log (voir ci-dessous).


la première étape n'a rien à voir avec fail2ban : il faut trouver dans
les fichier syslog une trace de la connexion. attention : la syntaxe
peut changer selon le protocole.
Ne pas hésiter à faire un "tail -f /var/log/syslog" pour voir "en temps
réel" ce qu'enregistre syslog

ensuite, on peut tester le comportement de fail2ban avec fail2ban-regex
: il permet de vérifier que les filtres utilisés dans la config
correspondent aux lignes de log

Publicité
Poster une réponse
Anonyme