Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux aide fail2ban

aide fail2ban

2 réponses
Avatar
François Patte
Bonsoir,


J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à
répétition pour des fichiers qui n'existent pas (erreur 404).


Dans /etc/fail2ban/jail.conf:

# Apache 404 FP, 18-01-2014
[apache-404]
enabled = true
filter = apache-404
port = http, https
logpath = /var/log/apache*/*access.log
banaction = iptables-allports
maxretry = 3


Dans /etc/fail2ban/filter.d/apache-404.conf

[Definition]

failregex = <HOST> - - \[.*?\] ".*?" 404

ignoreregex =

Avec cette config, j'ai, en vérifiant avec iptables -L:

Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-apache-404 tcp -- anywhere anywhere

Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante... Impossible d'obtenir le banissement!


Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine...)

Y a bien des trucs que je ne maîtrise pas! A vot' bon cœur!

Merci



--
François Patte
Université Paris Descartes
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
yamo'
Salut,

François Patte a tapoté, le 18/01/2014 19:45:
J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à
répétition pour des fichiers qui n'existent pas (erreur 404).




Je l'avais à un moment implémenté et c'était efficace ; une fois en
testant une nouvelle page en cours d'écriture, j'ai été banni de mon
propre serveur!

Je te conseille de lire :
<http://forum.ovh.com/showthread.php?36534-Fail2ban-amp-Apache&p4385&viewfull=1#post194385>
je l'ai retrouvé dans mon historique de navigation, ça a donc du être la
bonne réponse de l'époque.

Dans les messages on parle de modsecurity
ça doit être :
<http://packages.debian.org/search?lang=fr&searchon=names&keywords=libapache2-mod-security>
; ce paquet n'est présent que dans oldstable, testing et sid!

--
Stéphane <http://pasdenom.info/fortune/?>
Vaut-il mieux parler bêtement de choses intelligentes
ou parler intelligemment de choses bêtes ?
-+- Philippe Geluck, Le chat -+-
Avatar
Christophe PEREZ
Le Sat, 18 Jan 2014 19:45:39 +0100, François Patte a écrit :

Je viens de le rajouter à mon fail2ban actif suite à ton post

# Apache 404 FP, 18-01-2014
[apache-404]
enabled = true
filter = apache-404
port = http, https
logpath = /var/log/apache*/*access.log
banaction = iptables-allports
maxretry = 3



Perso, en calcant sur mes autres configs, j'ai mis :
[apache-404]
enabled = true
filter = apache-404
action = iptables-multiport[, port="http,https"]
sendmail-buffered[, lines=5,
dest=root,senderúil2ban2]
logpath = /var/log/apache2/*-access_log
findtime = 40
bantime = 1800
maxretry = 5

(le choix du sendmail-buffered est un choix perso)


Dans /etc/fail2ban/filter.d/apache-404.conf

[Definition]

failregex = <HOST> - - [.*?] ".*?" 404

ignoreregex


tu as testé ton filtre et ton log avec une commande du genre :
fail2ban-regex /var/log/apache*/*access.log /etc/fail2ban/filter.d/
apache-404.conf
?

Tu es sûr de scanner le bon log ?
Ton filtre fonctionne sur mes logs.

Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante... Impossible d'obtenir le banissement!



Bon, je n'ai encore fait aucun test du genre puisque je viens de mettre
le filtre.

Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine...)



bizarre...

Pour info, j'ai fail2ban 0.8.10-r2.