fail2ban : sshd jail ne fonctionne pas (encore)

Le
fab
salut la liste,

Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.


serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2

serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2

Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.

Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN


/var/log/fail2ban.log des Serveurs A et B sont identiques:

Stopping all jails
Jail 'sshd' stopped
Exiting Fail2ban
Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
Creating new jail 'sshd'
Jail 'sshd' uses pyinotify {}
Initiated 'pyinotify' backend
Set jail log file encoding to UTF-8
Set maxRetry = 2
Added logfile = /var/log/auth.log
Set findtime = 600
Set banTime = 600
Set maxlines = 10
Jail sshd is not a JournalFilter instance
Jail 'sshd' started

/etc/hosts.allow sur les 2 serveurs sont les même.

Bref, c'est tout pareil (à priori).

Quand je fais un ssh toto@serveurB:2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.

Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2

Quand je fais un ssh toto@serveurA:2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.

Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost.22.33.44 user=toto

Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.

Si vous avez une piste ou une idée, une vanne ou un bon mot. je prends!

merki,

f.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre Malard
Le #26521350
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9
Content-Type: multipart/alternative;
boundary="Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB"
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Ok, logique.
Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban…
Le 11 juil. 2019 à 19:11, Belaïd Salut,
Comme les serveurs sont identiques, pourquoi ne pas mettre la config des jails dans le même dossier ? À ta place Je ferai ça dans /etc/fail2ban/jail.d/
Le jeu. 11 juil. 2019 17:06, fab salut la liste,
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.
serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2
serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2
Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.
Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN
/var/log/fail2ban.log des Serveurs A et B sont identiques:
Stopping all jails
Jail 'sshd' stopped
Exiting Fail2ban
Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
Creating new jail 'sshd'
Jail 'sshd' uses pyinotify {}
Initiated 'pyinotify' backend
Set jail log file encoding to UTF-8
Set maxRetry = 2
Added logfile = /var/log/auth.log
Set findtime = 600
Set banTime = 600
Set maxlines = 10
Jail sshd is not a JournalFilter instance
Jail 'sshd' started
/etc/hosts.allow sur les 2 serveurs sont les même.
Bref, c'est tout pareil (à priori).
Quand je fais un ssh :2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.
Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2
Quand je fais un ssh :2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.
Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost.22.33.44 user=toto
Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.
Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!
merki,
f.


--
Pierre Malard
« on ne risque rien à livrer le secret professionnel car
on ne livre pas la façon de s’en servir »
Jean Cocteau - « Le secret professionnel » - 1922
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8
<br class="">
Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban<br class="">
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour <br class="">
l'instant je n'ai paramétré qu'une seule prison sshd.<br class="">
<br class="">
<br class="">
serveur A:<br class="">
# cat defaults-debian.conf<br class="">
[sshd]<br class="">
port = 2222<br class="">
enabled = true<br class="">
maxretry = 2<br class="">
<br class="">
serveur B:<br class="">
# cat ../jail.local<br class="">
[sshd]<br class="">
port = 2222<br class="">
enabled = true<br class="">
maxretry = 2<br class="">
<br class="">
Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.<br class="">
<br class="">
Serveur A et B:<br class="">
# iptables -S<br class="">
-P INPUT ACCEPT<br class="">
-P FORWARD ACCEPT<br class="">
-P OUTPUT ACCEPT<br class="">
-N f2b-sshd<br class="">
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd<br class="">
-A f2b-sshd -j RETURN<br class="">
<br class="">
<br class="">
/var/log/fail2ban.log des Serveurs A et B sont identiques:<br class="">
<br class="">
&nbsp; Stopping all jails<br class="">
&nbsp; Jail 'sshd' stopped<br class="">
&nbsp; Exiting Fail2ban<br class="">
&nbsp; Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6<br class="">
&nbsp; Connected to fail2ban persistent database<br class="">
'/var/lib/fail2ban/fail2ban.sqlite3'<br class="">
&nbsp; Creating new jail 'sshd'<br class="">
&nbsp; Jail 'sshd' uses pyinotify {}<br class="">
&nbsp; Initiated 'pyinotify' backend<br class="">
&nbsp; Set jail log file encoding to UTF-8<br class="">
&nbsp; Set maxRetry = 2<br class="">
&nbsp; Added logfile = /var/log/auth.log<br class="">
&nbsp; Set findtime = 600<br class="">
&nbsp; Set banTime = 600<br class="">
&nbsp; Set maxlines = 10<br class="">
&nbsp; Jail sshd is not a JournalFilter instance<br class="">
&nbsp; Jail 'sshd' started<br class="">
<br class="">
/etc/hosts.allow sur les 2 serveurs sont les même.<br class="">
<br class="">
Bref, c'est tout pareil (à priori).<br class="">
<br class="">
Quand je fais un ssh :2222 et que je rentre un mauvais mot<br class="">
de passe, fail2ban me bannit: OK.<br class="">
<br class="">
Dans le auth.log du serveur B, j'ai :<br class="">
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0<br class="">
tty=ssh ruser= rhost.22.33.44&nbsp; user=toto<br class="">
Failed password for toto from 11.22.33.44 port 40664 ssh2<br class="">
<br class="">
Quand je fais un ssh :2222 et que je rentre un mauvais mot<br class="">
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.<br class="">
<br class="">
Dans le auth.log du serveur A, j'ai :<br class="">
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0<br class="">
tty=ssh ruser= rhost.22.33.44&nbsp; user=toto<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Failed password for toto from 11.22.33.44 port 41342 ssh2<br class="">
Connection closed by 11.22.33.44 port 41342 [preauth]<br class="">
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=<br class="">
rhost.22.33.44&nbsp; user=toto<br class="">
<br class="">
Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.<br class="">
<br class="">
Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!<br class="">
<br class="">
merki,<br class="">
<br class="">
f.<br class="">
<br class="">
<br class="">
</div>
</div></div><br class=""><div class="">
</div>
<br class=""></div></body></html>
--Apple-Mail=_FC3AB1D6-0CF3-4D40-B8E1-08CBA3F14CCB--
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org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 =wf2n
-----END PGP SIGNATURE-----
--Apple-Mail=_960C80F1-19F3-4CE9-9223-855E52F62FC9--
Publicité
Poster une réponse
Anonyme