[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: fail2ban / ssh dans Lenny: Ne fonctionne pas

Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > Bonjour à tous,
> > >
> > > Salut Merwin,
> > >
> > > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> > > > logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
> > > >
> > > > 	[ssh]
> > > >
> > > > 	enabled = true
> > > > 	port    = ssh
> > > > 	filter  = sshd
> > > > 	logpath  = /var/log/auth.log
> > > > 	maxretry = 3
> > > >
> > > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > > action.d), et qui est bien lancé/configuré.
> > > >
> > > > Lorsque je fais:
> > > >
> > > > 	fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Et avec cette syntaxe:
> > >
> > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> >
> > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > au lieu d'un '/'. Donc en analysant le bon fichier:
> >
> > Summary
> > =======
> >
> > Addresses found:
> > [1]
> > [2]
> > [3]
> >     90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > ...
> >
> > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand je
> > vais voir dans les logs de fail2ban, il m'indique bien:
> >
> > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG  /var/log/auth.log has
> > been modified
> > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG  Sorting the
> > template list
> >
> > Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> > l'analyse avec le regex ci-dessus, mais il ne banni personne...
> 
> Je ne sais pas l'action que tu as choisi ...un oeil sur iptables/ip6tables :
> 
> % iptables -n -L
> % ip6tables -n -L
> 
> Comme teste, demande à un ami de se connecter sur ton IP au port SSH (22).
> 
> 
> @+
> -- 
> (o_
> (/)_
> S e r g e
> 

Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.

Dedans on y trouves ces deux lignes (je zappe les commentaires etc):

actionban = shorewall drop <ip>
actionban = shorewall allow <ip>

iptables ne contient aucune entrée dans DROP/REJECT concernant une
adresse IP quelquonque. J'essaye de me connecter moi même à la machine
distante en me trompant de mot de passe, et comme dit précédemment, il
détecte que le fichier de log est modifié mais ne fais rien.

J'ai même tenté avec 'iptables-multiport' comme action, mais idem, c'est
comme s'il n'essayait même pas d'éxécuté l'action, pusique rien n'est
logé, aucune erreur rien...

Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22

Cela pourrait t'il venir du fait que je sois en même temps connecté en
ssh ? Et que du coup il ne banni pas quelqu'un déjà connecté?
Reply to: