Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

fail2ban : sshd jail ne fonctionne pas (encore)

1 réponse
Avatar
fab
salut la liste,

Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.


serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2

serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2

Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.

Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN


/var/log/fail2ban.log des Serveurs A et B sont identiques:

Stopping all jails
Jail 'sshd' stopped
Exiting Fail2ban
Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
Creating new jail 'sshd'
Jail 'sshd' uses pyinotify {}
Initiated 'pyinotify' backend
Set jail log file encoding to UTF-8
Set maxRetry = 2
Added logfile = /var/log/auth.log
Set findtime = 600
Set banTime = 600
Set maxlines = 10
Jail sshd is not a JournalFilter instance
Jail 'sshd' started

/etc/hosts.allow sur les 2 serveurs sont les même.

Bref, c'est tout pareil (à priori).

Quand je fais un ssh toto@serveurB:2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.

Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2

Quand je fais un ssh toto@serveurA:2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.

Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost=11.22.33.44 user=toto

Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.

Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!

merki,

f.

1 réponse

Avatar
Pierre Malard
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9
Content-Type: multipart/alternative;
boundary="Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB"
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Ok, logique.
Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban…
Le 11 juil. 2019 à 19:11, Belaïd a écrit :
Salut,
Comme les serveurs sont identiques, pourquoi ne pas mettre la config des jails dans le même dossier ? À ta place Je ferai ça dans /etc/fail2ban/jail.d/
Le jeu. 11 juil. 2019 17:06, fab <mailto: a écrit :
salut la liste,
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.
serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2
serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2
Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.
Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN
/var/log/fail2ban.log des Serveurs A et B sont identiques:
Stopping all jails
Jail 'sshd' stopped
Exiting Fail2ban
Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
Creating new jail 'sshd'
Jail 'sshd' uses pyinotify {}
Initiated 'pyinotify' backend
Set jail log file encoding to UTF-8
Set maxRetry = 2
Added logfile = /var/log/auth.log
Set findtime = 600
Set banTime = 600
Set maxlines = 10
Jail sshd is not a JournalFilter instance
Jail 'sshd' started
/etc/hosts.allow sur les 2 serveurs sont les même.
Bref, c'est tout pareil (à priori).
Quand je fais un ssh :2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.
Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2
Quand je fais un ssh :2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.
Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost.22.33.44 user=toto
Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.
Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!
merki,
f.

--
Pierre Malard
« on ne risque rien à livrer le secret professionnel car
on ne livre pas la façon de s’en servir »
Jean Cocteau - « Le secret professionnel » - 1922
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Ok, logique.<div class=""><br class=""></div><div class="">Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban… <br class=""><div><br class=""><blockquote type="cite" class=""><div class="">Le 11 juil. 2019 à 19:11, Belaïd &lt;<a href="mailto:" class=""></a>&gt; a écrit :</div><br class="Apple-interchange-newline"><div class=""><div dir="auto" class="">Salut,&nbsp;<div dir="auto" class=""><br class=""></div><div dir="auto" class="">Comme les serveurs sont identiques, &nbsp;pourquoi ne pas mettre la config des jails dans le même dossier ?&nbsp; À ta place Je ferai ça dans /etc/fail2ban/jail.d/</div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 11 juil. 2019 17:06, fab &lt;<a href="mailto:" class=""></a>&gt; a écrit&nbsp;:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">salut la liste,<br class="">
<br class="">
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban<br class="">
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour <br class="">
l'instant je n'ai paramétré qu'une seule prison sshd.<br class="">
<br class="">
<br class="">
serveur A:<br class="">
# cat defaults-debian.conf<br class="">
[sshd]<br class="">
port = 2222<br class="">
enabled = true<br class="">
maxretry = 2<br class="">
<br class="">
serveur B:<br class="">
# cat ../jail.local<br class="">
[sshd]<br class="">
port = 2222<br class="">
enabled = true<br class="">
maxretry = 2<br class="">
<br class="">
Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.<br class="">
<br class="">
Serveur A et B:<br class="">
# iptables -S<br class="">
-P INPUT ACCEPT<br class="">
-P FORWARD ACCEPT<br class="">
-P OUTPUT ACCEPT<br class="">
-N f2b-sshd<br class="">
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd<br class="">
-A f2b-sshd -j RETURN<br class="">
<br class="">
<br class="">
/var/log/fail2ban.log des Serveurs A et B sont identiques:<br class="">
<br class="">
&nbsp; Stopping all jails<br class="">
&nbsp; Jail 'sshd' stopped<br class="">
&nbsp; Exiting Fail2ban<br class="">
&nbsp; Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6<br class="">
&nbsp; Connected to fail2ban persistent database<br class="">
'/var/lib/fail2ban/fail2ban.sqlite3'<br class="">
&nbsp; Creating new jail 'sshd'<br class="">
&nbsp; Jail 'sshd' uses pyinotify {}<br class="">
&nbsp; Initiated 'pyinotify' backend<br class="">
&nbsp; Set jail log file encoding to UTF-8<br class="">
&nbsp; Set maxRetry = 2<br class="">
&nbsp; Added logfile = /var/log/auth.log<br class="">
&nbsp; Set findtime = 600<br class="">
&nbsp; Set banTime = 600<br class="">
&nbsp; Set maxlines = 10<br class="">
&nbsp; Jail sshd is not a JournalFilter instance<br class="">
&nbsp; Jail 'sshd' started<br class="">
<br class="">
/etc/hosts.allow sur les 2 serveurs sont les même.<br class="">
<br class="">
Bref, c'est tout pareil (à priori).<br class="">
<br class="">
Quand je fais un ssh :2222 et que je rentre un mauvais mot<br class="">
de passe, fail2ban me bannit: OK.<br class="">
<br class="">
Dans le auth.log du serveur B, j'ai :<br class="">
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0<br class="">
tty=ssh ruser= rhost.22.33.44&nbsp; user=toto<br class="">
Failed password for toto from 11.22.33.44 port 40664 ssh2<br class="">
<br class="">
Quand je fais un ssh :2222 et que je rentre un mauvais mot<br class="">
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.<br class="">
<br class="">
Dans le auth.log du serveur A, j'ai :<br class="">
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0<br class="">
tty=ssh ruser= rhost.22.33.44&nbsp; user=toto<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Connection closed by 11.22.33.44 port 41342 [preauth]<br class="">
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=<br class="">
rhost.22.33.44&nbsp; user=toto<br class="">
<br class="">
Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.<br class="">
<br class="">
Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!<br class="">
<br class="">
merki,<br class="">
<br class="">
f.<br class="">
<br class="">
<br class="">
</div>
</div></div><br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="text-align: start; text-indent: 0px;"><font face="Courier New" size="1" style="font-variant-caps: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; color: rgb(0, 0, 0);" class="">--&nbsp;<br class="">Pierre Malard<br class=""><br class=""></font><font face="Times" class=""><i style="font-variant-caps: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">&nbsp; «&nbsp;on ne risque rien à livrer le secret professionnel car<br class="">&nbsp; &nbsp; &nbsp;on ne livre pas la façon de s’ en servir&nbsp;»<br class=""></i>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Jean Cocteau -&nbsp;«&nbsp;Le secret professionnel&nbsp;» - 1922<br class=""></font><font face="Courier New" size="1" style="font-variant-caps: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; color: rgb(0, 0, 0);" class=""><br class="">&nbsp; &nbsp;| &nbsp; &nbsp; &nbsp;_,,,---,,_<br class="">&nbsp; &nbsp;/,`.-'`' &nbsp; &nbsp;-. &nbsp;;-;;,_<br class="">&nbsp; |,4- &nbsp;) )-,_. , ( &nbsp;`'-'<br class="">&nbsp;'---''(_/--' &nbsp;`-'_) &nbsp; πr<br class=""><br class="">perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. &nbsp;;-;;,_: &nbsp;|,A- &nbsp;) )-,_. , ( &nbsp;`'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' &nbsp;`-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'<br class="">- --&gt; Ce message n’engage que son auteur &lt;--</font></div></div></div></div></div></div></div></div></div></div>
</div>
<br class=""></div></body></html>
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB--
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org
iQIzBAEBCgAdFiEE0KHTJ+AWKhmI+acm/pSWHuad/BgFAl0ngPEACgkQ/pSWHuad
/BjtaQ//Q1zfE+DT00+0JDDowToF/aS7hdETMYJA2zjFuLJbPycwh+hpHQw7eTni
oPM73BPI4JEVCwP2qOecdkXw33YLUD6Qmgja44JzN/AtgB2bTcoi4S10ISDwnEIe
lpajEvz1zsxdKQ3jVYaJ9829j7HAU3G/qiI4lnESTujHUp4s9a4mxsywzpd7p0YU
dbYwpzQDs2pTVBGPwNxUfn3zs7nBHcm3HCgiJxrXkBVmhk1LtDhOtrQo3R6u50G2
oaqtPWs396KTqvELQF+Ssh4sv8/RzuMjQAdzudKMtx7Jm3nBLHiMmTrTRol6c0lI
kIi1zaZWJNL4p/qZm+1OAVQsG7t2c5ZlzK7+1XQnBzk2h7SWKUaMLSQ1AiJxdYDt
HjPPdl+0sXkZx26qMrHC+nkJ4EHUHHpkqoQsL2XC4nc4AeYTMzpXUF84GxqUnERK
2Gi7kgjRarU+HzN8ofPXKU3+4R/gii7JFXmA7x3axM+CAGAVVgENVYbM1cWuthRN
70LxpmA+1uqc8oCZWcMvSsUA+NB9dRrxycVKB5lHTpgpMShoBu4WGPW3GzgnJ0DI
TOyhiYUXoH9A4HDX1a/Kukzdb4G3UUXT8MGZdTVnZDFL8hamPURslVWOZfZN9RmI
sW41dkZ4nx6h2pqGMYYWVUdZUsls5RWKRzhmWlsn9frGgXavwlc =wf2n
-----END PGP SIGNATURE-----
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9--