Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante... Impossible d'obtenir le banissement!
Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine...)
Y a bien des trucs que je ne maîtrise pas! A vot' bon cœur!
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
yamo'
Salut,
François Patte a tapoté, le 18/01/2014 19:45:
J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à répétition pour des fichiers qui n'existent pas (erreur 404).
Je l'avais à un moment implémenté et c'était efficace ; une fois en testant une nouvelle page en cours d'écriture, j'ai été banni de mon propre serveur!
Je te conseille de lire : <http://forum.ovh.com/showthread.php?36534-Fail2ban-amp-Apache&p4385&viewfull=1#post194385> je l'ai retrouvé dans mon historique de navigation, ça a donc du être la bonne réponse de l'époque.
Dans les messages on parle de modsecurity ça doit être : <http://packages.debian.org/search?lang=fr&searchon=names&keywords=libapache2-mod-security> ; ce paquet n'est présent que dans oldstable, testing et sid!
-- Stéphane <http://pasdenom.info/fortune/?> Vaut-il mieux parler bêtement de choses intelligentes ou parler intelligemment de choses bêtes ? -+- Philippe Geluck, Le chat -+-
Salut,
François Patte a tapoté, le 18/01/2014 19:45:
J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à
répétition pour des fichiers qui n'existent pas (erreur 404).
Je l'avais à un moment implémenté et c'était efficace ; une fois en
testant une nouvelle page en cours d'écriture, j'ai été banni de mon
propre serveur!
Je te conseille de lire :
<http://forum.ovh.com/showthread.php?36534-Fail2ban-amp-Apache&p4385&viewfull=1#post194385>
je l'ai retrouvé dans mon historique de navigation, ça a donc du être la
bonne réponse de l'époque.
Dans les messages on parle de modsecurity
ça doit être :
<http://packages.debian.org/search?lang=fr&searchon=names&keywords=libapache2-mod-security>
; ce paquet n'est présent que dans oldstable, testing et sid!
--
Stéphane <http://pasdenom.info/fortune/?>
Vaut-il mieux parler bêtement de choses intelligentes
ou parler intelligemment de choses bêtes ?
-+- Philippe Geluck, Le chat -+-
J'essaie d'utiliser fail2ban pour bannir les ip qui font des requêtes à répétition pour des fichiers qui n'existent pas (erreur 404).
Je l'avais à un moment implémenté et c'était efficace ; une fois en testant une nouvelle page en cours d'écriture, j'ai été banni de mon propre serveur!
Je te conseille de lire : <http://forum.ovh.com/showthread.php?36534-Fail2ban-amp-Apache&p4385&viewfull=1#post194385> je l'ai retrouvé dans mon historique de navigation, ça a donc du être la bonne réponse de l'époque.
Dans les messages on parle de modsecurity ça doit être : <http://packages.debian.org/search?lang=fr&searchon=names&keywords=libapache2-mod-security> ; ce paquet n'est présent que dans oldstable, testing et sid!
-- Stéphane <http://pasdenom.info/fortune/?> Vaut-il mieux parler bêtement de choses intelligentes ou parler intelligemment de choses bêtes ? -+- Philippe Geluck, Le chat -+-
Christophe PEREZ
Le Sat, 18 Jan 2014 19:45:39 +0100, François Patte a écrit :
Je viens de le rajouter à mon fail2ban actif suite à ton post
Perso, en calcant sur mes autres configs, j'ai mis : [apache-404] enabled = true filter = apache-404 action = iptables-multiport[, port="http,https"] sendmail-buffered[, lines=5, dest=root,senderúil2ban2] logpath = /var/log/apache2/*-access_log findtime = 40 bantime = 1800 maxretry = 5
(le choix du sendmail-buffered est un choix perso)
Dans /etc/fail2ban/filter.d/apache-404.conf
[Definition]
failregex = <HOST> - - [.*?] ".*?" 404
ignoreregex
tu as testé ton filtre et ton log avec une commande du genre : fail2ban-regex /var/log/apache*/*access.log /etc/fail2ban/filter.d/ apache-404.conf ?
Tu es sûr de scanner le bon log ? Ton filtre fonctionne sur mes logs.
Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir d'une machine distante... Impossible d'obtenir le banissement!
Bon, je n'ai encore fait aucun test du genre puisque je viens de mettre le filtre.
Autre question: le seul moyen d'obtenir une chaine iptables fail2ban-apache-404 est de mettre banaction = iptables-allports (multiport, ou autre fait disparître la chaine...)
bizarre...
Pour info, j'ai fail2ban 0.8.10-r2.
Le Sat, 18 Jan 2014 19:45:39 +0100, François Patte a écrit :
Je viens de le rajouter à mon fail2ban actif suite à ton post
Perso, en calcant sur mes autres configs, j'ai mis :
[apache-404]
enabled = true
filter = apache-404
action = iptables-multiport[name@4, port="http,https"]
sendmail-buffered[name@4, lines=5,
dest=root,senderúil2ban2]
logpath = /var/log/apache2/*-access_log
findtime = 40
bantime = 1800
maxretry = 5
(le choix du sendmail-buffered est un choix perso)
Dans /etc/fail2ban/filter.d/apache-404.conf
[Definition]
failregex = <HOST> - - [.*?] ".*?" 404
ignoreregex
tu as testé ton filtre et ton log avec une commande du genre :
fail2ban-regex /var/log/apache*/*access.log /etc/fail2ban/filter.d/
apache-404.conf
?
Tu es sûr de scanner le bon log ?
Ton filtre fonctionne sur mes logs.
Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir
d'une machine distante... Impossible d'obtenir le banissement!
Bon, je n'ai encore fait aucun test du genre puisque je viens de mettre
le filtre.
Autre question: le seul moyen d'obtenir une chaine iptables
fail2ban-apache-404 est de mettre banaction = iptables-allports
(multiport, ou autre fait disparître la chaine...)
Perso, en calcant sur mes autres configs, j'ai mis : [apache-404] enabled = true filter = apache-404 action = iptables-multiport[, port="http,https"] sendmail-buffered[, lines=5, dest=root,senderúil2ban2] logpath = /var/log/apache2/*-access_log findtime = 40 bantime = 1800 maxretry = 5
(le choix du sendmail-buffered est un choix perso)
Dans /etc/fail2ban/filter.d/apache-404.conf
[Definition]
failregex = <HOST> - - [.*?] ".*?" 404
ignoreregex
tu as testé ton filtre et ton log avec une commande du genre : fail2ban-regex /var/log/apache*/*access.log /etc/fail2ban/filter.d/ apache-404.conf ?
Tu es sûr de scanner le bon log ? Ton filtre fonctionne sur mes logs.
Mais, ça ne marche pas! J'ai testé en faisant des requêtes à partir d'une machine distante... Impossible d'obtenir le banissement!
Bon, je n'ai encore fait aucun test du genre puisque je viens de mettre le filtre.
Autre question: le seul moyen d'obtenir une chaine iptables fail2ban-apache-404 est de mettre banaction = iptables-allports (multiport, ou autre fait disparître la chaine...)