Fail2ban : pas de blocage d'accès et pas de logs

Le
Médor Tégé
--20cf3074d574d7a57b04d6135092
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'ai debian 6.0.5 "squeeze" sur un Seagate Freeagent Dockstar.
fail2ban installé, démarre normalement, mais n'écrit rien sur
/var/log/fail2ban.log.

_______________________________________________
Une jail SSH est activée :

*root@debian:~# fail2ban-client -d*

WARNING 'findtime' not defined in 'ssh'. Using default value
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'ssh', 'polling']
['set', 'ssh', 'addlogpath', '/var/log/auth.log']

['set', 'ssh', 'addfailregex', '^\s*(?:\S+ )?(?:@vserver_\S+
)?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?s=
shd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*Failed
(?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$']

['set', 'ssh', 'addaction', 'iptables-multiport']
['set', 'ssh', 'actionban', 'iptables-multiport', 'iptables -I
fail2ban-<name> 1 -s <ip> -j DROP']

['set', 'ssh', 'setcinfo', 'iptables-multiport', 'name', 'ssh']
['set', 'ssh', 'setcinfo', 'iptables-multiport', 'port', 'ssh']
['start', 'ssh']

________________________________________________

L'interprétation des logs lus dans /var/log/auth.log se fait bien :

*root@debian:~# fail2ban-regex /var/log/auth.log
/etc/fail2ban/filter.d/sshd.conf*

/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5
module is deprecated; use hashlib instead
import md5
2013-02-19 11:03:31,253 fail2ban.server : INFO Changed logging target
to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 11:03:31,274 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 11:03:31,275 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 11:03:31,303 fail2ban.filter : INFO Added logfile =
/var/log/auth.log
2013-02-19 11:03:31,309 fail2ban.filter : INFO Set maxRetry = 6
2013-02-19 11:03:31,320 fail2ban.filter : INFO Set findtime = 600
2013-02-19 11:03:31,325 fail2ban.actions: INFO Set banTime = 600
2013-02-19 11:03:31,655 fail2ban.jail : INFO Jail 'ssh' started

Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

118.192.2.50 (Tue Feb 19 05:28:49 2013)
118.192.2.50 (Tue Feb 19 05:28:53 2013)
118.192.2.50 (Tue Feb 19 05:28:58 2013)

*Success, the total number of match is 691*

_______________________________________________

Voilà le contenu de /var/log/fail2ban.log quand je restart :

2013-02-19 12:41:22,203 fail2ban.jail : INFO Jail 'ssh' stopped
2013-02-19 12:41:22,274 fail2ban.server : INFO Exiting Fail2ban
2013-02-19 12:41:24,634 fail2ban.server : INFO Changed logging target to
/var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-02-19 12:41:24,640 fail2ban.jail : INFO Creating new jail 'ssh'
2013-02-19 12:41:24,641 fail2ban.jail : INFO Jail 'ssh' uses poller
2013-02-19 12:41:24,809 fail2ban.filter : INFO Added logfile =
/var/log/auth.log
2013-02-19 12:41:24,816 fail2ban.filter : INFO Set maxRetry = 6
2013-02-19 12:41:24,826 fail2ban.filter : INFO Set findtime = 600
2013-02-19 12:41:24,831 fail2ban.actions: INFO Set banTime = 600
2013-02-19 12:41:25,456 fail2ban.jail : INFO Jail 'ssh' started

________________________________________________

Et pourtant les tentatives d'accès root par ssh ne sont pas mises dedans,
et ne sont pas bloquées par fail2ban ?
Où je dois regarder ? Merci !

--20cf3074d574d7a57b04d6135092
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div><div><div><div>Bonjour,<br><br></div>J&#39;=
ai debian 6.0.5 &quot;squeeze&quot; sur un Seagate Freeagent Dockstar. <br>=
fail2ban installé, démarre normalement, mais n&#39;écrit rien sur /va=
r/log/fail2ban.log.<br>
<br>_______________________________________________<br></div>Une jail SSH e=
st activée :<br><br><b>root@debian:~# fail2ban-client -d</b><br><br>WARNI=
NG &#39;findtime&#39; not defined in &#39;ssh&#39;. Using default value<br>
[&#39;set&#39;, &#39;loglevel&#39;, 3]<br>[&#39;set&#39;, &#39;logtarget&#3=
9;, &#39;/var/log/fail2ban.log&#39;]<br>[&#39;add&#39;, &#39;ssh&#39;, &#39=
;polling&#39;]<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addlogpath&#39;, &#39=
;/var/log/auth.log&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addfailregex&#39;, &#39;^\s*(?:=
\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\)=
)?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*=
Failed (?:password|publickey) for .* from &lt;HOST&gt;(?: port \d*)?(?: ss=
h\d*)?$&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;addaction&#39;, &#39;iptables-mu=
ltiport&#39;]<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;actionban&#39;, &#39;i=
ptables-multiport&#39;, &#39;iptables -I fail2ban-&lt;name&gt; 1 -s &lt;ip&=
gt; -j DROP&#39;]<br>
<br>[&#39;set&#39;, &#39;ssh&#39;, &#39;setcinfo&#39;, &#39;iptables-mul=
tiport&#39;, &#39;name&#39;, &#39;ssh&#39;]<br>[&#39;set&#39;, &#39;ssh&#39=
;, &#39;setcinfo&#39;, &#39;iptables-multiport&#39;, &#39;port&#39;, &#39;s=
sh&#39;]<br>
[&#39;start&#39;, &#39;ssh&#39;]<br><br>___________________________________=
_____________<br><br></div>L&#39;interprétation des logs lus dans /var/lo=
g/auth.log se fait bien :<br><br><b>root@debian:~# fail2ban-regex /var/log/=
auth.log /etc/fail2ban/filter.d/sshd.conf</b><br>
<br>/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5 m=
odule is deprecated; use hashlib instead<br>  import md5<br>2013-02-19=
11:03:31,253 fail2ban.server : INFO   Changed logging target to /var/l=
og/fail2ban.log for Fail2ban v0.8.4-SVN<br>
2013-02-19 11:03:31,274 fail2ban.jail   : INFO   Creating new jail =
&#39;ssh&#39;<br>2013-02-19 11:03:31,275 fail2ban.jail   : INFO   J=
ail &#39;ssh&#39; uses poller<br>2013-02-19 11:03:31,303 fail2ban.filter : =
INFO   Added logfile = /var/log/auth.log<br>
2013-02-19 11:03:31,309 fail2ban.filter : INFO   Set maxRetry = 6<br>=
2013-02-19 11:03:31,320 fail2ban.filter : INFO   Set findtime = 600<b=
r>2013-02-19 11:03:31,325 fail2ban.actions: INFO   Set banTime = 600<=
br>2013-02-19 11:03:31,655 fail2ban.jail   : INFO   Jail &#39;ssh&#=
39; started<br>
<br>Running tests<br>Use regex file : /etc/fail2ban/filter.d/sshd.conf<br>U=
se log file   : /var/log/auth.log<br><br>    118.192.2.50 (Tue=
Feb 19 05:28:49 2013)<br>    118.192.2.50 (Tue Feb 19 05:28:53 2013)=
<br>    118.192.2.50 (Tue Feb 19 05:28:58 2013)<br>
<br><b>Success, the total number of match is 691</b><br><br>____________=
___________________________________<br><br></div>Voilà le contenu de /var=
/log/fail2ban.log quand je restart :<br><br>2013-02-19 12:41:22,203 fail2ba=
n.jail   : INFO   Jail &#39;ssh&#39; stopped<br>
2013-02-19 12:41:22,274 fail2ban.server : INFO   Exiting Fail2ban<br>20=
13-02-19 12:41:24,634 fail2ban.server : INFO   Changed logging target t=
o /var/log/fail2ban.log for Fail2ban v0.8.4-SVN<br>2013-02-19 12:41:24,640 =
fail2ban.jail   : INFO   Creating new jail &#39;ssh&#39;<br>
2013-02-19 12:41:24,641 fail2ban.jail   : INFO   Jail &#39;ssh&#39;=
uses poller<br>2013-02-19 12:41:24,809 fail2ban.filter : INFO   Added =
logfile = /var/log/auth.log<br>2013-02-19 12:41:24,816 fail2ban.filter : =
INFO   Set maxRetry = 6<br>
2013-02-19 12:41:24,826 fail2ban.filter : INFO   Set findtime = 600<b=
r>2013-02-19 12:41:24,831 fail2ban.actions: INFO   Set banTime = 600<=
br>2013-02-19 12:41:25,456 fail2ban.jail   : INFO   Jail &#39;ssh&#=
39; started<br><br>
________________________________________________<br><br></div>Et pourtant l=
es tentatives d&#39;accès root par ssh ne sont pas mises dedans, et ne so=
nt pas bloquées par fail2ban ?<br></div>Où je dois regarder ? Merci !<b=
r>
</div>

--20cf3074d574d7a57b04d6135092--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAO1TOWN3d5pNm5ScQSBFfzyd6Ar2S6Vm4FEMwzuMk0iXiE-aFA@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gardouille
Le #25235622
Le 19/02/2013 13:52, Médor Tégé a écrit :
Bonjour,



Salut,

La configuration que j'ai pour ma jail ssh:

[ssh]
enabled = true
port = ssh,sftp
filter = sshd
action = iptables-multiport[name=SSH,port",protocol=tcp]
sendmail[dest="",name="ssh",sender=""]
# Log file
logpath = /var/log/auth.log
# Analyze the last 600 secondes (10minutes)
findtime = 600
# bantime: 25h
bantime = 90000
# Maximum failed try
maxretry = 3

Tu peux t'amuser à tester en modifiant "bantime" et "ignoreip" et en
faisant quelques erreurs de connection sur ton poste pour voir ce que ça
donne. Évite le bannissement pendant 1 semaine de ta propre ip ^^


Et pourtant les tentatives d'accès root par ssh ne sont pas mises
dedans, et ne sont pas bloquées par fail2ban ?
Où je dois regarder ? Merci !



Pour savoir ce qui est bloqué par fail2ban:

# fail2ban-client status ssh


Si tu as conservé le filtre fournit par défaut, toutes mauvaises
connections (quelque soit l'user) sera prise en compte par fail2ban et
donc ip bannie au bout des X tentatives en fonction des paramètres tu as
spécifié.


--
------------------
Gardouille-kun
mail:
jabber:
------------------

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme