Je constate des centaines de tentatives d'authentification
sur mon serveur pop dovecot :
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
"authentication failure; logname=3D uid=3D0 euid=3D0 tty=3Ddovecot=20
ruser=3Dhollie rhost=3D173.9.136.221 : 6 Time(s)"
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
avec =E0 chaque fois un "ruser" diff=E9rent.
On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:
En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. Pour ma part, je ne mets dans jail.local que mes ajouts/modifications par rapport à jail.conf. Je ne réalise donc pas une copie préalable de jail.conf vers jail.local. Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier post et rien d'autre (enfin, j'ai aussi quelques autres jails pour lesquels j'ai surchargé la conf mais sur le même principe). L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de conf. Évidemment, ça peut aussi être un soucis si le mainteneur change une option qui me convenait mais l'important est d'en être conscient (et sur une debian stable, le risque est très limité).
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : ======= authentication failure; logname= uid=0 euid=0 tty=dovecot ruser rhost2.162.68.120 : 12 Time(s) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost2.162.68.120 : 11 Time(s) ... ======= 12 Times et 11 Times..., alors que maxretry = 3.
Oui, c'est possible quand les requêtes sont simultanées.
Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps.
Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise NginX comme
serveur Web, et j'ai dû créer des filtres en conséquence.
Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que le service
traite les données, donc ponctuellement il peut y avoir une inflation de vilaines requêtes.
Le 5 nov. 2015 à 12:36, andre_debian@numericable.fr a écrit :
On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:
En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais.
Pour ma part, je ne mets dans jail.local que mes ajouts/modifications
par rapport à jail.conf. Je ne réalise donc pas une copie préalable de
jail.conf vers jail.local.
Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier
post et rien d'autre (enfin, j'ai aussi quelques autres jails pour
lesquels j'ai surchargé la conf mais sur le même principe).
L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de
conf. Évidemment, ça peut aussi être un soucis si le mainteneur change
une option qui me convenait mais l'important est d'en être conscient (et
sur une debian stable, le risque est très limité).
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h :
=======
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin@free.org
rhost=192.162.68.120 : 12 Time(s)
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test@free.org
rhost=192.162.68.120 : 11 Time(s)
...
=======
12 Times et 11 Times..., alors que maxretry = 3.
Oui, c'est possible quand les requêtes sont simultanées.
Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps.
Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise NginX comme
serveur Web, et j'ai dû créer des filtres en conséquence.
Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que le service
traite les données, donc ponctuellement il peut y avoir une inflation de vilaines requêtes.
On Thursday 05 November 2015 09:29:51 Jean-Jacques Doti wrote:
En fait, ce n'est pas exactement ce que j'ai écrit, ni ce que je fais. Pour ma part, je ne mets dans jail.local que mes ajouts/modifications par rapport à jail.conf. Je ne réalise donc pas une copie préalable de jail.conf vers jail.local. Mon jail.local ne contient en fait que ce que j'ai mis dans mon premier post et rien d'autre (enfin, j'ai aussi quelques autres jails pour lesquels j'ai surchargé la conf mais sur le même principe). L'avantage est que, en cas de mise à jour, j'aurai le nouveau fichier de conf. Évidemment, ça peut aussi être un soucis si le mainteneur change une option qui me convenait mais l'important est d'en être conscient (et sur une debian stable, le risque est très limité).
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : ======= authentication failure; logname= uid=0 euid=0 tty=dovecot ruser rhost2.162.68.120 : 12 Time(s) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost2.162.68.120 : 11 Time(s) ... ======= 12 Times et 11 Times..., alors que maxretry = 3.
Oui, c'est possible quand les requêtes sont simultanées.
Au fil du temps, ça va s'arranger pourvu que tu bannisse les IP assez longtemps.
Une autre condition est que le filtre soit adéquat. Par exemple, j'utilise NginX comme
serveur Web, et j'ai dû créer des filtres en conséquence.
Par ailleurs, certains de mes sites sont chez Cloudflare. Il faut attendre que le service
traite les données, donc ponctuellement il peut y avoir une inflation de vilaines requêtes.
Philippe Gras
Le 5 nov. 2015 à 13:09, Vincent Besse a écrit :
On Thu, 5 Nov 2015 12:36:03 +0100 wrote:
[...]
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : ======= authentication failure; logname= uid=0 euid=0 tty=dovecot ruser rhost2.162.68.120 : 12 Time(s) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost2.162.68.120 : 11 Time(s) ... ======= 12 Times et 11 Times..., alors que maxretry = 3.
André
Avoir un fichier jail.local est une chose, encore faut-il que fail2ban sache reconnaître ces lignes et les traiter. Il faut donc avoir dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour qu' il ne soit pas lui non plus écrasé par une mise à jour) qui contienne une regex correspondant à ces logs et que dans la section [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de regarder le bon fichier de log.
Tu peux tester tes paramètres de configuration ainsi : /usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)
Par exemple ce que j'ai fait pour les tentatives de login sur le Web : /usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Vu la gueule des messages ça doit provenir de /var/log/auth.log mais c' est à confirmer.
D'accord avec Vincent :-)
Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose.
Le 5 nov. 2015 à 13:09, Vincent Besse <vincent@ouhena.org> a écrit :
On Thu, 5 Nov 2015 12:36:03 +0100
andre_debian@numericable.fr wrote:
[...]
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h :
=======
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin@free.org
rhost=192.162.68.120 : 12 Time(s)
authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=test@free.org
rhost=192.162.68.120 : 11 Time(s)
...
=======
12 Times et 11 Times..., alors que maxretry = 3.
André
Avoir un fichier jail.local est une chose, encore faut-il que fail2ban
sache reconnaître ces lignes et les traiter. Il faut donc avoir
dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour
qu' il ne soit pas lui non plus écrasé par une mise à jour) qui
contienne une regex correspondant à ces logs et que dans la section
[dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de
regarder le bon fichier de log.
Tu peux tester tes paramètres de configuration ainsi :
/usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)
Par exemple ce que j'ai fait pour les tentatives de login sur le Web :
/usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Vu la gueule des messages ça doit
provenir de /var/log/auth.log mais c' est à confirmer.
D'accord avec Vincent :-)
Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose.
J'ai encore 88 tentatives, envoyées par logwatch ce matin vers 5h : ======= authentication failure; logname= uid=0 euid=0 tty=dovecot ruser rhost2.162.68.120 : 12 Time(s) authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost2.162.68.120 : 11 Time(s) ... ======= 12 Times et 11 Times..., alors que maxretry = 3.
André
Avoir un fichier jail.local est une chose, encore faut-il que fail2ban sache reconnaître ces lignes et les traiter. Il faut donc avoir dans /etc/fail2ban/filter.d un fichier (par exemple 'dovecot.local' pour qu' il ne soit pas lui non plus écrasé par une mise à jour) qui contienne une regex correspondant à ces logs et que dans la section [dovecot] (si tu l' as appelée comme ça) de jail.local tu lui dises de regarder le bon fichier de log.
Tu peux tester tes paramètres de configuration ainsi : /usr/bin/fail2ban-regex /var/log/service_a_tester/mon_fichier_de_logs.log /etc/fail2ban/filter.d/mon_fichier_de_filtrage.(conf | local)
Par exemple ce que j'ai fait pour les tentatives de login sur le Web : /usr/bin/fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/nginx-access.conf
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Vu la gueule des messages ça doit provenir de /var/log/auth.log mais c' est à confirmer.
D'accord avec Vincent :-)
Il existe une tonne de tutos (en français) sur fail2ban, un petit tour chez Gogol s'impose.
Vincent Besse
On Thu, 5 Nov 2015 13:41:34 +0100 Philippe Gras wrote:
> Vu la gueule des messages ça doit > provenir de /var/log/auth.log mais c' est à confirmer.
D'accord avec Vincent :-) > Il existe une tonne de tutos (en français) sur fail2ban, un petit to ur chez Gogol s'impose.
D' accord avec Philippe :D
Vincent
-- La musique adoucit-elle les moeurs? Testez-vous sur: http://soundcloud.com/ouhena http://www.reverbnation.com/koslow
Philippe Gras
Le 5 nov. 2015 à 14:35, Vincent Besse a écrit :
On Thu, 5 Nov 2015 13:41:34 +0100 Philippe Gras wrote:
[...]
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Les nommer en .local permet d' être sûr aussi que ton fichier ne posera pas de problème si une version ultérieure du paquet amène un fichier qui voudrait avoir le même nom que le tien. Et ça permet de repérer de suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.
C'est fort probableÂ… et en tout cas c'est vrai, si tu veux modifier un filtre ou une action
machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai utilisées
telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnelsÂ…
Je ne savais pas comment les nommerÂ… alors je les ai nommés bidule_perso.conf et
ils n'ont pas été écrasés lors de la dernière MAJ.
Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ?
C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de réponse.
Le 5 nov. 2015 à 14:35, Vincent Besse <vincent@ouhena.org> a écrit :
On Thu, 5 Nov 2015 13:41:34 +0100
Philippe Gras <ph.gras@worldonline.fr> wrote:
[...]
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Les nommer en .local permet d' être sûr aussi que ton fichier ne posera
pas de problème si une version ultérieure du paquet amène un fichier
qui voudrait avoir le même nom que le tien. Et ça permet de repérer de
suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.
C'est fort probableÂ… et en tout cas c'est vrai, si tu veux modifier un filtre ou une action
machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai utilisées
telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnelsÂ…
Je ne savais pas comment les nommerÂ… alors je les ai nommés bidule_perso.conf et
ils n'ont pas été écrasés lors de la dernière MAJ.
Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ?
C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de réponse.
On Thu, 5 Nov 2015 13:41:34 +0100 Philippe Gras wrote:
[...]
Perso, j'ai créé plein de regex dans des filtres perso que je n'ai pas nommé en local
et ils sont restés tels quels après ma dernière mise à jour.
Mais je n'ai pas modifié de fichier de conf d'origineÂ…
Les nommer en .local permet d' être sûr aussi que ton fichier ne posera pas de problème si une version ultérieure du paquet amène un fichier qui voudrait avoir le même nom que le tien. Et ça permet de repérer de suite quels sont 'tes' fichiers et quels sont les fichiers 'debian'.
C'est fort probableÂ… et en tout cas c'est vrai, si tu veux modifier un filtre ou une action
machin.conf. Dans mon cas, les conf originales que j'ai conservées, je les ai utilisées
telles quelles. Mais j'ai aussi dû créer des filtres et des actions personnelsÂ…
Je ne savais pas comment les nommerÂ… alors je les ai nommés bidule_perso.conf et
ils n'ont pas été écrasés lors de la dernière MAJ.
Auraient-ils fonctionnés si je les avais nommés directement bidule_perso.local ?
C'est une question que je me suis posée, mais à laquelle je n'ai pas trouvé de réponse.