Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin,
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> [ssh]
>
> enabled = true
> port = ssh
> filter = sshd
> logpath = /var/log/auth.log
> maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>
Et avec cette syntaxe:
% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Ou bien en testant d'autres journaux:
% fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/sshd.conf
> J'obtiens aucun résultat:
>
> Sorry, no match
>
> Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
>
> failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
> for .* from <HOST>\s*$
> ^%(__prefix_line)s(?:error: PAM: )?User not known to the
> underlying authentication module for .* from <HOST>\s*$
> ^%(__prefix_line)sFailed (?:password|publickey) for .* from
> <HOST>(?: port \d*)?(?: ssh\d*)?$
> ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
> ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
> <HOST>\s*$
> ^%(__prefix_line)sUser .+ from <HOST> not allowed because
> not listed in AllowUsers$
> ^%(__prefix_line)sUser .+ from <HOST> not allowed because
> none of user's groups are listed in AllowGroups\s*$
> ^%(__prefix_line)sauthentication failure; logname=\S* uid=
> \S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
> ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
> ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
> ATTEMPT\s*$
>
> Et mon fichier de log contient cette ligne, qui devrait correspondre au
> 3ème regex, hors ce n'est pas le cas!
>
> Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
> 90.10.109.43 port 35564 ssh2
>
> Je répète je n'ai pas touché à la regex! Merci d'avance ;-)
@+
--
(o_
(/)_
S e r g e
Reply to: