Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > Bonjour à tous,
> >
> > Salut Merwin,
> >
> > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > >
> > > [ssh]
> > >
> > > enabled = true
> > > port = ssh
> > > filter = sshd
> > > logpath = /var/log/auth.log
> > > maxretry = 3
> > >
> > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > action.d), et qui est bien lancé/configuré.
> > >
> > > Lorsque je fais:
> > >
> > > fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Et avec cette syntaxe:
> >
> > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
>
> Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> au lieu d'un '/'. Donc en analysant le bon fichier:
>
> Summary
> =======
>
> Addresses found:
> [1]
> [2]
> [3]
> 90.10.109.43 (Sun Oct 25 10:09:30 2009)
> ...
>
> Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> vais voir dans les logs de fail2ban, il m'indique bien:
>
> 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG /var/log/auth.log has
> been modified
> 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG Sorting the
> template list
>
> Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> l'analyse avec le regex ci-dessus, mais il ne banni personne...
Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :
% iptables -n -L
% ip6tables -n -L
Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).
@+
--
(o_
(/)_
S e r g e
Reply to: