Re: fail2ban / ssh dans Lenny: Ne fonctionne pas

To: debian-user-french@lists.debian.org
Subject: Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
From: S e r g e <serge@srv0.ath.cx>
Date: Sun, 25 Oct 2009 12:45:08 +0100
Message-id: <[🔎] 200910251245.09119.serge@srv0.ath.cx>
In-reply-to: <[🔎] 1256462076.18722.10.camel@home-up>
References: <[🔎] 1256462076.18722.10.camel@home-up>

Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> Bonjour à tous,
Salut Merwin, 
>
> J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
> logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
>
> 	[ssh]
>
> 	enabled = true
> 	port    = ssh
> 	filter  = sshd
> 	logpath  = /var/log/auth.log
> 	maxretry = 3
>
> Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> action.d), et qui est bien lancé/configuré.
>
> Lorsque je fais:
>
> 	fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
>

Et avec cette syntaxe:

% fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Ou bien en testant d'autres journaux:

% fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/sshd.conf

> J'obtiens aucun résultat:
>
> 	Sorry, no match
>
> Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
>
> failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
> for .* from <HOST>\s*$
>             ^%(__prefix_line)s(?:error: PAM: )?User not known to the
> underlying authentication module for .* from <HOST>\s*$
>             ^%(__prefix_line)sFailed (?:password|publickey) for .* from
> <HOST>(?: port \d*)?(?: ssh\d*)?$
>             ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
>             ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
> <HOST>\s*$
>             ^%(__prefix_line)sUser .+ from <HOST> not allowed because
> not listed in AllowUsers$
>             ^%(__prefix_line)sUser .+ from <HOST> not allowed because
> none of user's groups are listed in AllowGroups\s*$
>             ^%(__prefix_line)sauthentication failure; logname=\S* uid=
> \S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
>             ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
>             ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
> ATTEMPT\s*$
>
> Et mon fichier de log contient cette ligne, qui devrait correspondre au
> 3ème regex, hors ce n'est pas le cas!
>
> Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
> 90.10.109.43 port 35564 ssh2
>
> Je répète je n'ai pas touché à la regex! Merci d'avance ;-)


@+
-- 
(o_
(/)_
S e r g e

Reply to:

Follow-Ups:
- Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
  - From: Merwin <merwin.irc@gmail.com>

References:
- fail2ban / ssh dans Lenny: Ne fonctionne pas
  - From: Merwin <merwin.irc@gmail.com>

Prev by Date: Re: Sécurité Apache / Droits d'accès
Next by Date: Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
Previous by thread: fail2ban / ssh dans Lenny: Ne fonctionne pas
Next by thread: Re: fail2ban / ssh dans Lenny: Ne fonctionne pas
Index(es):
- Date
- Thread