Fail2ban : pas de blocage d'accès et pas de logs

Le
Médor Tégé
--20cf3074d574d7a57b04d6135092
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'ai debian 6.0.5 "squeeze" sur un Seagate Freeagent Dockstar.
fail2ban install, dmarre normalement, mais n'crit rien sur
/var/log/fail2ban.log.

_______________________________________________
Une jail SSH est active :

*root@debian:~# fail2ban-client -d*

WARNING 'findtime' not defined in 'ssh'. Using default value
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'ssh', 'polling']
['set', 'ssh', 'addlogpath', '/var/log/auth.log']

['set', 'ssh', 'addfailregex', '^\s*(?:\S+ )?(?:@vserver_\S+
)?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?s=
shd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*Failed
(?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$']

['set', 'ssh', 'addaction', 'iptables-multiport']
['set', 'ssh', 'actionban', 'iptables-multiport', 'iptables -I
fail2ban-<name> 1 -s <ip> -j DROP']

['set', 'ssh', 'setcinfo', 'iptables-multiport', 'name', 'ssh']
['set', 'ssh', 'setcinfo', 'iptables-multiport', 'port', 'ssh']
['start', 'ssh']

________________________________________________

L'interprtation des logs lus dans /var/log/auth.log se fait bien :

*root@debian:~# fail2ban-regex /var/log/auth.log
/etc/fail2ban/filter.d/sshd.conf*

/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5
module is deprecated; use hashlib instead
import md5
2013-02-19 11:03:31,253 fail2ban.server : INFO Changed logging target
to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 11:03:31,274 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 11:03:31,275 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 11:03:31,303 fail2ban.filter : INFO Added logfile =
/var/log/auth.log
2013-02-19 11:03:31,309 fail2ban.filter : INFO Set maxRetry = 6
2013-02-19 11:03:31,320 fail2ban.filter : INFO Set findtime = 600
2013-02-19 11:03:31,325 fail2ban.actions: INFO Set banTime = 600
2013-02-19 11:03:31,655 fail2ban.jail : INFO Jail 'ssh' started

Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

118.192.2.50 (Tue Feb 19 05:28:49 2013)
118.192.2.50 (Tue Feb 19 05:28:53 2013)
118.192.2.50 (Tue Feb 19 05:28:58 2013)

*Success, the total number of match is 691*

_______________________________________________

Voil le contenu de /var/log/fail2ban.log quand je restart :

2013-02-19 12:41:22,203 fail2ban.jail : INFO Jail 'ssh' stopped
2013-02-19 12:41:22,274 fail2ban.server : INFO Exiting Fail2ban
2013-02-19 12:41:24,634 fail2ban.server : INFO Changed logging target to
/var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 12:41:24,640 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 12:41:24,641 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 12:41:24,809 fail2ban.filter : INFO Added logfile =
/var/log/auth.log
2013-02-19 12:41:24,816 fail2ban.filter : INFO Set maxRetry = 6
2013-02-19 12:41:24,826 fail2ban.filter : INFO Set findtime = 600
2013-02-19 12:41:24,831 fail2ban.actions: INFO Set banTime = 600
2013-02-19 12:41:25,456 fail2ban.jail : INFO Jail 'ssh' started

________________________________________________

Et pourtant les tentatives d'accs root par ssh ne sont pas mises dedans,
et ne sont pas bloques par fail2ban ?
O je dois regarder ? Merci !

--20cf3074d574d7a57b04d6135092
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div><div><div><div>Bonjour,<br><br></div>J&#39;=
ai debian 6.0.5 &quot;squeeze&quot; sur un Seagate Freeagent Dockstar. <br>=
fail2ban install, dmarre normalement, mais n&#39;crit rien sur /va=
r/log/fail2ban.log.<br>
<br>_______________________________________________<br></div>Une jail SSH e=
st active :<br><br><b>root@debian:~# fail2ban-client -d</b><br><br>WARNI=
NG &#39;findtime&#39; not defined in &#39;ssh&#39;. Using default value<br>
[&#39;set&#39;, &#39;loglevel&#39;, 3]<br>[&#39;set&#39;, &#39;logtarget&#3=
9;, &#39;/var/log/fail2ban.log&#39;]<br>[&#39;add&#39;, &#39;ssh&#39;, &#39=
;polling&#39;]<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addlogpath&#39;, &#39=
;/var/log/auth.log&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addfailregex&#39;, &#39;^\s*(?:=
\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\)=
)?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*=
Failed (?:password|publickey) for .* from &lt;HOST&gt;(?: port \d*)?(?: ss=
h\d*)?$&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addaction&#39;, &#39;iptables-mu=
ltiport&#39;]<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;actionban&#39;, &#39;i=
ptables-multiport&#39;, &#39;iptables -I fail2ban-&lt;name&gt; 1 -s &lt;ip&=
gt; -j DROP&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;setcinfo&#39;, &#39;iptables-mul=
tiport&#39;, &#39;name&#39;, &#39;ssh&#39;]<br>[&#39;set&#39;, &#39;ssh&#39=
;, &#39;setcinfo&#39;, &#39;iptables-multiport&#39;, &#39;port&#39;, &#39;s=
sh&#39;]<br>
[&#39;start&#39;, &#39;ssh&#39;]<br><br>___________________________________=
_____________<br><br></div>L&#39;interprtation des logs lus dans /var/lo=
g/auth.log se fait bien :<br><br><b>root@debian:~# fail2ban-regex /var/log/=
auth.log /etc/fail2ban/filter.d/sshd.conf</b><br>
<br>/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5 m=
odule is deprecated; use hashlib instead<br> import md5<br>2013-02-19=
11:03:31,253 fail2ban.server : INFO Changed logging target to /var/l=
og/fail2ban.log for Fail2ban v0.8.4-SVN<br>
2013-02-19 11:03:31,274 fail2ban.jail : INFO Creating new jail =
&#39;ssh&#39;<br>2013-02-19 11:03:31,275 fail2ban.jail : INFO J=
ail &#39;ssh&#39; uses poller<br>2013-02-19 11:03:31,303 fail2ban.filter : =
INFO Added logfile = /var/log/auth.log<br>
2013-02-19 11:03:31,309 fail2ban.filter : INFO Set maxRetry = 6<br>=
2013-02-19 11:03:31,320 fail2ban.filter : INFO Set findtime = 600<b=
r>2013-02-19 11:03:31,325 fail2ban.actions: INFO Set banTime = 600<=
br>2013-02-19 11:03:31,655 fail2ban.jail : INFO Jail &#39;ssh&#=
39; started<br>
<br>Running tests<br>Use regex file : /etc/fail2ban/filter.d/sshd.conf<br>U=
se log file : /var/log/auth.log<br><br> 118.192.2.50 (Tue=
Feb 19 05:28:49 2013)<br> 118.192.2.50 (Tue Feb 19 05:28:53 2013)=
<br> 118.192.2.50 (Tue Feb 19 05:28:58 2013)<br>
<br><b>Success, the total number of match is 691</b><br><br>____________=
___________________________________<br><br></div>Voil le contenu de /var=
/log/fail2ban.log quand je restart :<br><br>2013-02-19 12:41:22,203 fail2ba=
n.jail : INFO Jail &#39;ssh&#39; stopped<br>
2013-02-19 12:41:22,274 fail2ban.server : INFO Exiting Fail2ban<br>20=
13-02-19 12:41:24,634 fail2ban.server : INFO Changed logging target t=
o /var/log/fail2ban.log for Fail2ban v0.8.4-SVN<br>2013-02-19 12:41:24,640 =
fail2ban.jail : INFO Creating new jail &#39;ssh&#39;<br>
2013-02-19 12:41:24,641 fail2ban.jail : INFO Jail &#39;ssh&#39;=
uses poller<br>2013-02-19 12:41:24,809 fail2ban.filter : INFO Added =
logfile = /var/log/auth.log<br>2013-02-19 12:41:24,816 fail2ban.filter : =
INFO Set maxRetry = 6<br>
2013-02-19 12:41:24,826 fail2ban.filter : INFO Set findtime = 600<b=
r>2013-02-19 12:41:24,831 fail2ban.actions: INFO Set banTime = 600<=
br>2013-02-19 12:41:25,456 fail2ban.jail : INFO Jail &#39;ssh&#=
39; started<br><br>
________________________________________________<br><br></div>Et pourtant l=
es tentatives d&#39;accs root par ssh ne sont pas mises dedans, et ne so=
nt pas bloques par fail2ban ?<br></div>O je dois regarder ? Merci !<b=
r>
</div>

--20cf3074d574d7a57b04d6135092--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAO1TOWN3d5pNm5ScQSBFfzyd6Ar2S6Vm4FEMwzuMk0iXiE-aFA@mail.gmail.com
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gardouille
Le #25235622
Le 19/02/2013 13:52, Médor Tégé a écrit :
Bonjour,



Salut,

La configuration que j'ai pour ma jail ssh:

[ssh]
enabled = true
port = ssh,sftp
filter = sshd
action = iptables-multiport[name=SSH,port",protocol=tcp]
sendmail[dest="",name="ssh",sender=""]
# Log file
logpath = /var/log/auth.log
# Analyze the last 600 secondes (10minutes)
findtime = 600
# bantime: 25h
bantime = 90000
# Maximum failed try
maxretry = 3

Tu peux t'amuser à tester en modifiant "bantime" et "ignoreip" et en
faisant quelques erreurs de connection sur ton poste pour voir ce que ça
donne. Évite le bannissement pendant 1 semaine de ta propre ip ^^


Et pourtant les tentatives d'accès root par ssh ne sont pas mises
dedans, et ne sont pas bloquées par fail2ban ?
Où je dois regarder ? Merci !



Pour savoir ce qui est bloqué par fail2ban:

# fail2ban-client status ssh


Si tu as conservé le filtre fournit par défaut, toutes mauvaises
connections (quelque soit l'user) sera prise en compte par fail2ban et
donc ip bannie au bout des X tentatives en fonction des paramètres tu as
spécifié.


--
------------------
Gardouille-kun
mail:
jabber:
------------------

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme