J'ai debian 6.0.5 "squeeze" sur un Seagate Freeagent Dockstar.
fail2ban install=E9, d=E9marre normalement, mais n'=E9crit rien sur
/var/log/fail2ban.log.
_______________________________________________
Une jail SSH est activ=E9e :
*root@debian:~# fail2ban-client -d*
WARNING 'findtime' not defined in 'ssh'. Using default value
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'ssh', 'polling']
['set', 'ssh', 'addlogpath', '/var/log/auth.log']
...
['set', 'ssh', 'addfailregex', '^\\s*(?:\\S+ )?(?:@vserver_\\S+
)?(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?sshd(?:\\(\\S+\\))?[\\]\\)]?:?|[\\[\\(]?s=
shd(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:)?\\s*Failed
(?:password|publickey) for .* from <HOST>(?: port \\d*)?(?: ssh\\d*)?$']
...
['set', 'ssh', 'addaction', 'iptables-multiport']
['set', 'ssh', 'actionban', 'iptables-multiport', 'iptables -I
fail2ban-<name> 1 -s <ip> -j DROP']
...
['set', 'ssh', 'setcinfo', 'iptables-multiport', 'name', 'ssh']
['set', 'ssh', 'setcinfo', 'iptables-multiport', 'port', 'ssh']
['start', 'ssh']
________________________________________________
L'interpr=E9tation des logs lus dans /var/log/auth.log se fait bien :
/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5
module is deprecated; use hashlib instead
import md5
...2013-02-19 11:03:31,253 fail2ban.server : INFO Changed logging target
to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 11:03:31,274 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 11:03:31,275 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 11:03:31,303 fail2ban.filter : INFO Added logfile =3D
/var/log/auth.log
2013-02-19 11:03:31,309 fail2ban.filter : INFO Set maxRetry =3D 6
2013-02-19 11:03:31,320 fail2ban.filter : INFO Set findtime =3D 600
2013-02-19 11:03:31,325 fail2ban.actions: INFO Set banTime =3D 600
2013-02-19 11:03:31,655 fail2ban.jail : INFO Jail 'ssh' started
Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log
...
118.192.2.50 (Tue Feb 19 05:28:49 2013)
118.192.2.50 (Tue Feb 19 05:28:53 2013)
118.192.2.50 (Tue Feb 19 05:28:58 2013)
...
*Success, the total number of match is 691*
_______________________________________________
Voil=E0 le contenu de /var/log/fail2ban.log quand je restart :
2013-02-19 12:41:22,203 fail2ban.jail : INFO Jail 'ssh' stopped
2013-02-19 12:41:22,274 fail2ban.server : INFO Exiting Fail2ban
2013-02-19 12:41:24,634 fail2ban.server : INFO Changed logging target to
/var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 12:41:24,640 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 12:41:24,641 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 12:41:24,809 fail2ban.filter : INFO Added logfile =3D
/var/log/auth.log
2013-02-19 12:41:24,816 fail2ban.filter : INFO Set maxRetry =3D 6
2013-02-19 12:41:24,826 fail2ban.filter : INFO Set findtime =3D 600
2013-02-19 12:41:24,831 fail2ban.actions: INFO Set banTime =3D 600
2013-02-19 12:41:25,456 fail2ban.jail : INFO Jail 'ssh' started
________________________________________________
Et pourtant les tentatives d'acc=E8s root par ssh ne sont pas mises dedans,
et ne sont pas bloqu=E9es par fail2ban ?
O=F9 je dois regarder ? Merci !
<div dir=3D"ltr"><div><div><div><div><div><div>Bonjour,<br><br></div>J'=
ai debian 6.0.5 "squeeze" sur un Seagate Freeagent Dockstar. <br>=
fail2ban install=E9, d=E9marre normalement, mais n'=E9crit rien sur /va=
r/log/fail2ban.log.<br>
<br>_______________________________________________<br></div>Une jail SSH e=
st activ=E9e :<br><br><b>root@debian:~# fail2ban-client -d</b><br><br>WARNI=
NG 'findtime' not defined in 'ssh'. Using default value<br>
['set', 'loglevel', 3]<br>['set', 'logtarget=
9;, '/var/log/fail2ban.log']<br>['add', 'ssh', '=
;polling']<br>['set', 'ssh', 'addlogpath', '=
;/var/log/auth.log']<br>
...<br>['set', 'ssh', 'addfailregex', '^\\s*(?:=
\\S+ )?(?:@vserver_\\S+ )?(?:(?:\\[\\d+\\])?:\\s+[\\[\\(]?sshd(?:\\(\\S+\\)=
)?[\\]\\)]?:?|[\\[\\(]?sshd(?:\\(\\S+\\))?[\\]\\)]?:?(?:\\[\\d+\\])?:)?\\s*=
Failed (?:password|publickey) for .* from <HOST>(?: port \\d*)?(?: ss=
h\\d*)?$']<br>
...<br>['set', 'ssh', 'addaction', 'iptables-mu=
ltiport']<br>['set', 'ssh', 'actionban', 'i=
ptables-multiport', 'iptables -I fail2ban-<name> 1 -s <ip&=
gt; -j DROP']<br>
...<br>['set', 'ssh', 'setcinfo', 'iptables-mul=
tiport', 'name', 'ssh']<br>['set', 'ssh'=
;, 'setcinfo', 'iptables-multiport', 'port', 's=
sh']<br>
['start', 'ssh']<br><br>___________________________________=
_____________<br><br></div>L'interpr=E9tation des logs lus dans /var/lo=
g/auth.log se fait bien :<br><br><b>root@debian:~# fail2ban-regex /var/log/=
auth.log /etc/fail2ban/filter.d/sshd.conf</b><br>
<br>/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5 m=
odule is deprecated; use hashlib instead<br>=A0 import md5<br>...2013-02-19=
11:03:31,253 fail2ban.server : INFO=A0=A0 Changed logging target to /var/l=
og/fail2ban.log for Fail2ban v0.8.4-SVN<br>
2013-02-19 11:03:31,274 fail2ban.jail=A0=A0 : INFO=A0=A0 Creating new jail =
'ssh'<br>2013-02-19 11:03:31,275 fail2ban.jail=A0=A0 : INFO=A0=A0 J=
ail 'ssh' uses poller<br>2013-02-19 11:03:31,303 fail2ban.filter : =
INFO=A0=A0 Added logfile =3D /var/log/auth.log<br>
2013-02-19 11:03:31,309 fail2ban.filter : INFO=A0=A0 Set maxRetry =3D 6<br>=
2013-02-19 11:03:31,320 fail2ban.filter : INFO=A0=A0 Set findtime =3D 600<b=
r>2013-02-19 11:03:31,325 fail2ban.actions: INFO=A0=A0 Set banTime =3D 600<=
br>2013-02-19 11:03:31,655 fail2ban.jail=A0=A0 : INFO=A0=A0 Jail 'ssh&#=
39; started<br>
<br>Running tests<br>Use regex file : /etc/fail2ban/filter.d/sshd.conf<br>U=
se log file=A0=A0 : /var/log/auth.log<br>...<br>=A0=A0=A0 118.192.2.50 (Tue=
Feb 19 05:28:49 2013)<br>=A0=A0=A0 118.192.2.50 (Tue Feb 19 05:28:53 2013)=
<br>=A0=A0=A0 118.192.2.50 (Tue Feb 19 05:28:58 2013)<br>
...<br><b>Success, the total number of match is 691</b><br><br>____________=
___________________________________<br><br></div>Voil=E0 le contenu de /var=
/log/fail2ban.log quand je restart :<br><br>2013-02-19 12:41:22,203 fail2ba=
n.jail=A0=A0 : INFO=A0=A0 Jail 'ssh' stopped<br>
2013-02-19 12:41:22,274 fail2ban.server : INFO=A0=A0 Exiting Fail2ban<br>20=
13-02-19 12:41:24,634 fail2ban.server : INFO=A0=A0 Changed logging target t=
o /var/log/fail2ban.log for Fail2ban v0.8.4-SVN<br>2013-02-19 12:41:24,640 =
fail2ban.jail=A0=A0 : INFO=A0=A0 Creating new jail 'ssh'<br>
2013-02-19 12:41:24,641 fail2ban.jail=A0=A0 : INFO=A0=A0 Jail 'ssh'=
uses poller<br>2013-02-19 12:41:24,809 fail2ban.filter : INFO=A0=A0 Added =
logfile =3D /var/log/auth.log<br>2013-02-19 12:41:24,816 fail2ban.filter : =
INFO=A0=A0 Set maxRetry =3D 6<br>
2013-02-19 12:41:24,826 fail2ban.filter : INFO=A0=A0 Set findtime =3D 600<b=
r>2013-02-19 12:41:24,831 fail2ban.actions: INFO=A0=A0 Set banTime =3D 600<=
br>2013-02-19 12:41:25,456 fail2ban.jail=A0=A0 : INFO=A0=A0 Jail 'ssh&#=
39; started<br><br>
________________________________________________<br><br></div>Et pourtant l=
es tentatives d'acc=E8s root par ssh ne sont pas mises dedans, et ne so=
nt pas bloqu=E9es par fail2ban ?<br></div>O=F9 je dois regarder ? Merci !<b=
r>
</div>
--20cf3074d574d7a57b04d6135092--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAO1TOWN3d5pNm5ScQSBFfzyd6Ar2S6Vm4FEMwzuMk0iXiE-aFA@mail.gmail.com
Tu peux t'amuser à tester en modifiant "bantime" et "ignoreip" et en faisant quelques erreurs de connection sur ton poste pour voir ce que ça donne. Évite le bannissement pendant 1 semaine de ta propre ip ^^
Et pourtant les tentatives d'accès root par ssh ne sont pas mises dedans, et ne sont pas bloquées par fail2ban ? Où je dois regarder ? Merci !
Pour savoir ce qui est bloqué par fail2ban:
# fail2ban-client status ssh
Si tu as conservé le filtre fournit par défaut, toutes mauvaises connections (quelque soit l'user) sera prise en compte par fail2ban et donc ip bannie au bout des X tentatives en fonction des paramètres tu as spécifié.
Tu peux t'amuser à tester en modifiant "bantime" et "ignoreip" et en
faisant quelques erreurs de connection sur ton poste pour voir ce que ça
donne. Évite le bannissement pendant 1 semaine de ta propre ip ^^
Et pourtant les tentatives d'accès root par ssh ne sont pas mises
dedans, et ne sont pas bloquées par fail2ban ?
Où je dois regarder ? Merci !
Pour savoir ce qui est bloqué par fail2ban:
# fail2ban-client status ssh
Si tu as conservé le filtre fournit par défaut, toutes mauvaises
connections (quelque soit l'user) sera prise en compte par fail2ban et
donc ip bannie au bout des X tentatives en fonction des paramètres tu as
spécifié.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5124B2A0.8060900@gmail.com
Tu peux t'amuser à tester en modifiant "bantime" et "ignoreip" et en faisant quelques erreurs de connection sur ton poste pour voir ce que ça donne. Évite le bannissement pendant 1 semaine de ta propre ip ^^
Et pourtant les tentatives d'accès root par ssh ne sont pas mises dedans, et ne sont pas bloquées par fail2ban ? Où je dois regarder ? Merci !
Pour savoir ce qui est bloqué par fail2ban:
# fail2ban-client status ssh
Si tu as conservé le filtre fournit par défaut, toutes mauvaises connections (quelque soit l'user) sera prise en compte par fail2ban et donc ip bannie au bout des X tentatives en fonction des paramètres tu as spécifié.
