[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: failtoban

Le Wed, 06 Jun 2007 16:00:11 +0200, Vincent Gay a écrit:
> 
> Aussi j'ai été très intéressé de la référence à fail2ban dans la
> discussion sur "Blacklistage d'ip par ssh".
> 
> Donc installation (sans problème) de fail2ban, juste un coup d'oeil à
> /etc/fail2ban/jail.conf pour accepter les règles par défaut (voir
> ci-dessous), et... ça marche pas. C'est à dire qu'après 3 échecs
> (volontaires) je ne suis pas banni et peut me reconnecter immédiatement
> 
Comme on disait à côté, ça peut ne pas être pile trois, mais ça ne 
devrait pas être beaucoup lus non plus.

J'essaie de comparer tes fichiers de conf à ce que j'ai chez moi pour 
voir.

> [DEFAULT]
>
(tout pareil chez moi là-dedans) 

> # ACTIONS
> #
> 
> # Default banning action (e.g. iptables, iptables-new, #
> iptables-multiport, shorewall, etc) It is used to define # action_*
> variables. Can be overriden globally or per # section within jail.local
> file
> banaction = iptables-multiport
>
Tiens, moi j'ai 

>#Default action to take: ban only
>action = iptables[name=%(__name__)s, port=%(port)s]

> 
> #
> # Action shortcuts. To be used to define action parameter
> 
> # The simplest action to take: ban only action_ =
> %(banaction)s[name=%(__name__)s, port="%(port)s"]
> 
> # ban & send an e-mail with whois report to the destemail. action_mw =
> %(banaction)s[name=%(__name__)s, port="%(port)s"]
>               mail-whois[name=%(__name__)s, dest="%(destemail)s"]
> 
> # ban & send an e-mail with whois report and relevant log lines # to the
> destemail.
> action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s"]
>                mail-whois-lines[name=%(__name__)s, dest="%(destemail)s",
>                logpath=%(logpath)s]
>  
> # Choose default action.  To change, just override value of 'action'
> with the # interpolation to the chosen action shortcut (e.g.  action_mw,
> action_mwl, etc) in jail.local # globally (section [DEFAULT]) or per
> specific section action = %(action_)s
> 
Bon, cette section là semble avoir changé entre nos deux versions du 
fichier de conf. Je comprends pas trop comment ça marche chez toi, mais 
je me dis que ça peut être une idée de changer l'action par défaut pour 
voir.

> [ssh]
> 
> enabled = true
> port	= ssh,sftp
> filter	= sshd
> logpath  = /var/log/auth.log
> maxretry = 6
> 
Là une piste pourrait être de vérifier dans ton auth.log si les lignes 
signalant l'aggression sont assez explicites pour être comprises par 
fail2ban (en particulier elles doivent comporter le mot sshd) Le problème 
peut venir du fait que la regexp utilisée par failtoban pour matcher les 
tentatives manquées n'est pas bonne, dans ce cas ça peut être désagréable 
à régler. Tu n'utilises pas un truc exotique comme serveur ssh ?

Par ailleurs, ton fail2ban.log confirme clairement que rien n'a été 
fait : quand une IP est bannie, tu as un message explicite comme 
(j'attends 5 minutes de ne plus être banni et je te dis, à ce sujet il 
m'a fallu 15 secondes soit 7 tentatives pour me bannir) :

2007-06-06 21:11:09,744 fail2ban.actions: WARNING [ssh] Ban 192.168.0.126

Pour info, les lignes déclencheuses du auth.log ressemblent à :

Jun  6 21:11:01 thue sshd[22064]: Invalid user blabla from 192.168.0.126
Jun  6 21:11:01 thue sshd[22064]: Failed none for invalid user blabla 
from 192.168.0.126 port 4037 ssh2
Jun  6 21:11:02 thue sshd[22064]: Failed password for invalid user blabla 
from 192.168.0.126 port 4037 ssh2

Manuel.
Reply to: