Bonjour à tous,
J'ai installé fail2ban, et configuré celui-ci pour qu'il và ©rifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.
Lorsque je fais:
fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
J'obtiens aucun résultat:
Sorry, no match
Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port d*)?(?: sshd*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroupss*$
^%(__prefix_line)sauthentication failure; logname=S* uid=
S* euid=S* tty=S* ruser=S* rhost=<HOST>(?:s+user=.*)?s*$
^%(__prefix_line)srefused connect from S+ (<HOST>)s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPTs*$
Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!
Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2
Je répète je n'ai pas touché à la regex! Merci d'avan ce ;-)
Bonjour à tous,
J'ai installé fail2ban, et configuré celui-ci pour qu'il và ©rifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.
Lorsque je fais:
fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
J'obtiens aucun résultat:
Sorry, no match
Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port d*)?(?: sshd*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroupss*$
^%(__prefix_line)sauthentication failure; logname=S* uid=
S* euid=S* tty=S* ruser=S* rhost=<HOST>(?:s+user=.*)?s*$
^%(__prefix_line)srefused connect from S+ (<HOST>)s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPTs*$
Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!
Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2
Je répète je n'ai pas touché à la regex! Merci d'avan ce ;-)
Bonjour à tous,
J'ai installé fail2ban, et configuré celui-ci pour qu'il và ©rifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.
Lorsque je fais:
fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
J'obtiens aucun résultat:
Sorry, no match
Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port d*)?(?: sshd*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroupss*$
^%(__prefix_line)sauthentication failure; logname=S* uid=
S* euid=S* tty=S* ruser=S* rhost=<HOST>(?:s+user=.*)?s*$
^%(__prefix_line)srefused connect from S+ (<HOST>)s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPTs*$
Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!
Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2
Je répète je n'ai pas touché à la regex! Merci d'avan ce ;-)
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin,
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> [ssh]
>
> enabled = true
> port = ssh
> filter = sshd
> logpath = /var/log/auth.log
> maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
Et avec cette syntaxe:
% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin,
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> [ssh]
>
> enabled = true
> port = ssh
> filter = sshd
> logpath = /var/log/auth.log
> maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
Et avec cette syntaxe:
% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin,
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> [ssh]
>
> enabled = true
> port = ssh
> filter = sshd
> logpath = /var/log/auth.log
> maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
Et avec cette syntaxe:
% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > Bonjour à tous,
>
> Salut Merwin,
>
> > J'ai installé fail2ban, et configuré celui-ci pour qu'il v érifie les
> > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> >
> > [ssh]
> >
> > enabled = true
> > port = ssh
> > filter = sshd
> > logpath = /var/log/auth.log
> > maxretry = 3
> >
> > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > action.d), et qui est bien lancé/configuré.
> >
> > Lorsque je fais:
> >
> > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Et avec cette syntaxe:
>
> % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
au lieu d'un '/'. Donc en analysant le bon fichier:
Summary
=======
Addresses found:
[1]
[2]
[3]
90.10.109.43 (Sun Oct 25 10:09:30 2009)
...
Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
vais voir dans les logs de fail2ban, il m'indique bien:
2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
been modified
2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
template list
Donc il détecte bien que le fichier est modifié, donc je suppos e qu'il
l'analyse avec le regex ci-dessus, mais il ne banni personne...
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > Bonjour à tous,
>
> Salut Merwin,
>
> > J'ai installé fail2ban, et configuré celui-ci pour qu'il v érifie les
> > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> >
> > [ssh]
> >
> > enabled = true
> > port = ssh
> > filter = sshd
> > logpath = /var/log/auth.log
> > maxretry = 3
> >
> > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > action.d), et qui est bien lancé/configuré.
> >
> > Lorsque je fais:
> >
> > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Et avec cette syntaxe:
>
> % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
au lieu d'un '/'. Donc en analysant le bon fichier:
Summary
=======
Addresses found:
[1]
[2]
[3]
90.10.109.43 (Sun Oct 25 10:09:30 2009)
...
Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
vais voir dans les logs de fail2ban, il m'indique bien:
2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
been modified
2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
template list
Donc il détecte bien que le fichier est modifié, donc je suppos e qu'il
l'analyse avec le regex ci-dessus, mais il ne banni personne...
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > Bonjour à tous,
>
> Salut Merwin,
>
> > J'ai installé fail2ban, et configuré celui-ci pour qu'il v érifie les
> > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> >
> > [ssh]
> >
> > enabled = true
> > port = ssh
> > filter = sshd
> > logpath = /var/log/auth.log
> > maxretry = 3
> >
> > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > action.d), et qui est bien lancé/configuré.
> >
> > Lorsque je fais:
> >
> > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Et avec cette syntaxe:
>
> % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
au lieu d'un '/'. Donc en analysant le bon fichier:
Summary
=======
Addresses found:
[1]
[2]
[3]
90.10.109.43 (Sun Oct 25 10:09:30 2009)
...
Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
vais voir dans les logs de fail2ban, il m'indique bien:
2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
been modified
2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
template list
Donc il détecte bien que le fichier est modifié, donc je suppos e qu'il
l'analyse avec le regex ci-dessus, mais il ne banni personne...
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > Bonjour à tous,
> >
> > Salut Merwin,
> >
> > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > >
> > > [ssh]
> > >
> > > enabled = true
> > > port = ssh
> > > filter = sshd
> > > logpath = /var/log/auth.log
> > > maxretry = 3
> > >
> > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > action.d), et qui est bien lancé/configuré.
> > >
> > > Lorsque je fais:
> > >
> > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Et avec cette syntaxe:
> >
> > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> au lieu d'un '/'. Donc en analysant le bon fichier:
>
> Summary
> ====== > >
> Addresses found:
> [1]
> [2]
> [3]
> 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> ...
>
> Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> vais voir dans les logs de fail2ban, il m'indique bien:
>
> 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> been modified
> 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
> template list
>
> Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> l'analyse avec le regex ci-dessus, mais il ne banni personne...
Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :
% iptables -n -L
% ip6tables -n -L
Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).
@+
--
(o_
(/)_
S e r g e
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > Bonjour à tous,
> >
> > Salut Merwin,
> >
> > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > >
> > > [ssh]
> > >
> > > enabled = true
> > > port = ssh
> > > filter = sshd
> > > logpath = /var/log/auth.log
> > > maxretry = 3
> > >
> > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > action.d), et qui est bien lancé/configuré.
> > >
> > > Lorsque je fais:
> > >
> > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Et avec cette syntaxe:
> >
> > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> au lieu d'un '/'. Donc en analysant le bon fichier:
>
> Summary
> ====== > >
> Addresses found:
> [1]
> [2]
> [3]
> 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> ...
>
> Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> vais voir dans les logs de fail2ban, il m'indique bien:
>
> 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> been modified
> 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
> template list
>
> Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> l'analyse avec le regex ci-dessus, mais il ne banni personne...
Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :
% iptables -n -L
% ip6tables -n -L
Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).
@+
--
(o_
(/)_
S e r g e
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > Bonjour à tous,
> >
> > Salut Merwin,
> >
> > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > >
> > > [ssh]
> > >
> > > enabled = true
> > > port = ssh
> > > filter = sshd
> > > logpath = /var/log/auth.log
> > > maxretry = 3
> > >
> > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > action.d), et qui est bien lancé/configuré.
> > >
> > > Lorsque je fais:
> > >
> > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Et avec cette syntaxe:
> >
> > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> au lieu d'un '/'. Donc en analysant le bon fichier:
>
> Summary
> ====== > >
> Addresses found:
> [1]
> [2]
> [3]
> 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> ...
>
> Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> vais voir dans les logs de fail2ban, il m'indique bien:
>
> 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> been modified
> 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
> template list
>
> Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> l'analyse avec le regex ci-dessus, mais il ne banni personne...
Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :
% iptables -n -L
% ip6tables -n -L
Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).
@+
--
(o_
(/)_
S e r g e
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écri t :
> > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > Bonjour à tous,
> > >
> > > Salut Merwin,
> > >
> > > > J'ai installé fail2ban, et configuré celui-ci pour qu'i l vérifie
> > > > les logs de SSH, afin de banir l'ip au bout de 3 erreurs de
> > > > connexions:
> > > >
> > > > [ssh]
> > > >
> > > > enabled = true
> > > > port = ssh
> > > > filter = sshd
> > > > logpath = /var/log/auth.log
> > > > maxretry = 3
> > > >
> > > > Mon 'banaction' est défini à 'shorewall', (qui existe b ien dans
> > > > action.d), et qui est bien lancé/configuré.
> > > >
> > > > Lorsque je fais:
> > > >
> > > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Et avec cette syntaxe:
> > >
> > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > au lieu d'un '/'. Donc en analysant le bon fichier:
> >
> > Summary
> > =======
> >
> > Addresses found:
> > [1]
> > [2]
> > [3]
> > 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > ...
> >
> > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand
> > je vais voir dans les logs de fail2ban, il m'indique bien:
> >
> > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> > been modified
> > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting
> > the template list
> >
> > Donc il détecte bien que le fichier est modifié, donc je su ppose qu'il
> > l'analyse avec le regex ci-dessus, mais il ne banni personne...
>
> Je ne sais pas l'action que tu as choisi ...un oeil sur
> iptables/ip6tables :
>
> % iptables -n -L
> % ip6tables -n -L
>
> Comme teste, demande à un ami de se connecter sur ton IP au port S SH
> (22).
>
>
> @+
> --
> (o_
> (/)_
> S e r g e
Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.
Dedans on y trouves ces deux lignes (je zappe les commentaires etc):
actionban = shorewall drop <ip>
actionban = shorewall allow <ip>
iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemm ent, il
détecte que le fichier de log est modifié mais ne fais rien.
J'ai même tenté avec 'iptables-multiport' comme action, mais id em, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pu sique rien n'est
logé, aucune erreur rien...
Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22
Cela pourrait t'il venir du fait que je sois en même temps connect é en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connectà ©?
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écri t :
> > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > Bonjour à tous,
> > >
> > > Salut Merwin,
> > >
> > > > J'ai installé fail2ban, et configuré celui-ci pour qu'i l vérifie
> > > > les logs de SSH, afin de banir l'ip au bout de 3 erreurs de
> > > > connexions:
> > > >
> > > > [ssh]
> > > >
> > > > enabled = true
> > > > port = ssh
> > > > filter = sshd
> > > > logpath = /var/log/auth.log
> > > > maxretry = 3
> > > >
> > > > Mon 'banaction' est défini à 'shorewall', (qui existe b ien dans
> > > > action.d), et qui est bien lancé/configuré.
> > > >
> > > > Lorsque je fais:
> > > >
> > > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Et avec cette syntaxe:
> > >
> > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > au lieu d'un '/'. Donc en analysant le bon fichier:
> >
> > Summary
> > =======
> >
> > Addresses found:
> > [1]
> > [2]
> > [3]
> > 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > ...
> >
> > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand
> > je vais voir dans les logs de fail2ban, il m'indique bien:
> >
> > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> > been modified
> > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting
> > the template list
> >
> > Donc il détecte bien que le fichier est modifié, donc je su ppose qu'il
> > l'analyse avec le regex ci-dessus, mais il ne banni personne...
>
> Je ne sais pas l'action que tu as choisi ...un oeil sur
> iptables/ip6tables :
>
> % iptables -n -L
> % ip6tables -n -L
>
> Comme teste, demande à un ami de se connecter sur ton IP au port S SH
> (22).
>
>
> @+
> --
> (o_
> (/)_
> S e r g e
Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.
Dedans on y trouves ces deux lignes (je zappe les commentaires etc):
actionban = shorewall drop <ip>
actionban = shorewall allow <ip>
iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemm ent, il
détecte que le fichier de log est modifié mais ne fais rien.
J'ai même tenté avec 'iptables-multiport' comme action, mais id em, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pu sique rien n'est
logé, aucune erreur rien...
Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22
Cela pourrait t'il venir du fait que je sois en même temps connect é en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connectà ©?
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écri t :
> > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > Bonjour à tous,
> > >
> > > Salut Merwin,
> > >
> > > > J'ai installé fail2ban, et configuré celui-ci pour qu'i l vérifie
> > > > les logs de SSH, afin de banir l'ip au bout de 3 erreurs de
> > > > connexions:
> > > >
> > > > [ssh]
> > > >
> > > > enabled = true
> > > > port = ssh
> > > > filter = sshd
> > > > logpath = /var/log/auth.log
> > > > maxretry = 3
> > > >
> > > > Mon 'banaction' est défini à 'shorewall', (qui existe b ien dans
> > > > action.d), et qui est bien lancé/configuré.
> > > >
> > > > Lorsque je fais:
> > > >
> > > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Et avec cette syntaxe:
> > >
> > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > au lieu d'un '/'. Donc en analysant le bon fichier:
> >
> > Summary
> > =======
> >
> > Addresses found:
> > [1]
> > [2]
> > [3]
> > 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > ...
> >
> > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand
> > je vais voir dans les logs de fail2ban, il m'indique bien:
> >
> > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> > been modified
> > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting
> > the template list
> >
> > Donc il détecte bien que le fichier est modifié, donc je su ppose qu'il
> > l'analyse avec le regex ci-dessus, mais il ne banni personne...
>
> Je ne sais pas l'action que tu as choisi ...un oeil sur
> iptables/ip6tables :
>
> % iptables -n -L
> % ip6tables -n -L
>
> Comme teste, demande à un ami de se connecter sur ton IP au port S SH
> (22).
>
>
> @+
> --
> (o_
> (/)_
> S e r g e
Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.
Dedans on y trouves ces deux lignes (je zappe les commentaires etc):
actionban = shorewall drop <ip>
actionban = shorewall allow <ip>
iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemm ent, il
détecte que le fichier de log est modifié mais ne fais rien.
J'ai même tenté avec 'iptables-multiport' comme action, mais id em, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pu sique rien n'est
logé, aucune erreur rien...
Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22
Cela pourrait t'il venir du fait que je sois en même temps connect é en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connectà ©?
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
> > Donc pour résumer: CA FONCTIONNE!
> > Alors question: Pourquoi ça ne marche pas quand je le fais de ch ez moi
> > vers mon serveur (distant!)? Est-ce parceque je suis déjà c onnecté à la
> > machine via un autre terminal?
>
> NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es
> connecté sur une console ton teste ne peut pas aboutir. Tu dois te
> déconnecter, PUIS établir un teste erroné. De là t on IP serat bloqué un
> temps, en passant, allonger le temps à 30 minutes est très bi en.
>
> @+
Merci pour tout, en fait ça marchait très bien, ce sont juste m es tests
qui étaient faussés... merci encore Serge!
Donc pour récapituler: Si vous voulez testez, déconnectez-vous
totalement de la machine avant de faire des essais!
Bonne journée à tous,
T.D
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
> > Donc pour résumer: CA FONCTIONNE!
> > Alors question: Pourquoi ça ne marche pas quand je le fais de ch ez moi
> > vers mon serveur (distant!)? Est-ce parceque je suis déjà c onnecté à la
> > machine via un autre terminal?
>
> NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es
> connecté sur une console ton teste ne peut pas aboutir. Tu dois te
> déconnecter, PUIS établir un teste erroné. De là t on IP serat bloqué un
> temps, en passant, allonger le temps à 30 minutes est très bi en.
>
> @+
Merci pour tout, en fait ça marchait très bien, ce sont juste m es tests
qui étaient faussés... merci encore Serge!
Donc pour récapituler: Si vous voulez testez, déconnectez-vous
totalement de la machine avant de faire des essais!
Bonne journée à tous,
T.D
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
> > Donc pour résumer: CA FONCTIONNE!
> > Alors question: Pourquoi ça ne marche pas quand je le fais de ch ez moi
> > vers mon serveur (distant!)? Est-ce parceque je suis déjà c onnecté à la
> > machine via un autre terminal?
>
> NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es
> connecté sur une console ton teste ne peut pas aboutir. Tu dois te
> déconnecter, PUIS établir un teste erroné. De là t on IP serat bloqué un
> temps, en passant, allonger le temps à 30 minutes est très bi en.
>
> @+
Merci pour tout, en fait ça marchait très bien, ce sont juste m es tests
qui étaient faussés... merci encore Serge!
Donc pour récapituler: Si vous voulez testez, déconnectez-vous
totalement de la machine avant de faire des essais!
Bonne journée à tous,
T.D
> Donc pour résumer: CA FONCTIONNE!
> Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
> vers mon serveur (distant!)? Est-ce parceque je suis déjà connecté à la
> machine via un autre terminal?
NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es connecté
sur une console ton teste ne peut pas aboutir. Tu dois te déconnecter, PUIS
établir un teste erroné. De là ton IP serat bloqué un temps, en passant,
allonger le temps à 30 minutes est très bien.
@+
> Donc pour résumer: CA FONCTIONNE!
> Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
> vers mon serveur (distant!)? Est-ce parceque je suis déjà connecté à la
> machine via un autre terminal?
NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es connecté
sur une console ton teste ne peut pas aboutir. Tu dois te déconnecter, PUIS
établir un teste erroné. De là ton IP serat bloqué un temps, en passant,
allonger le temps à 30 minutes est très bien.
@+
> Donc pour résumer: CA FONCTIONNE!
> Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
> vers mon serveur (distant!)? Est-ce parceque je suis déjà connecté à la
> machine via un autre terminal?
NOTE: le teste dois être une connexion sur SSH REFUSE . Or si tu es connecté
sur une console ton teste ne peut pas aboutir. Tu dois te déconnecter, PUIS
établir un teste erroné. De là ton IP serat bloqué un temps, en passant,
allonger le temps à 30 minutes est très bien.
@+