[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: fail2ban / ssh dans Lenny: Ne fonctionne pas

Le Sunday 25 October 2009 13:41:49 Merwin, vous avez écrit :
> Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
> > Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
> > > Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
> > > > Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
> > > > > Bonjour à tous,
> > > >
> > > > Salut Merwin,
> > > >
> > > > > J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie
> > > > > les logs de SSH, afin de banir l'ip au bout de 3 erreurs de
> > > > > connexions:
> > > > >
> > > > > 	[ssh]
> > > > >
> > > > > 	enabled = true
> > > > > 	port    = ssh
> > > > > 	filter  = sshd
> > > > > 	logpath  = /var/log/auth.log
> > > > > 	maxretry = 3
> > > > >
> > > > > Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
> > > > > action.d), et qui est bien lancé/configuré.
> > > > >
> > > > > Lorsque je fais:
> > > > >
> > > > > 	fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
> > > >
> > > > Et avec cette syntaxe:
> > > >
> > > > % fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
> > >
> > > Ok, donc en effet j'avais fais n'importe quoi, pusique j'avais mis '.'
> > > au lieu d'un '/'. Donc en analysant le bon fichier:
> > >
> > > Summary
> > > =======
> > >
> > > Addresses found:
> > > [1]
> > > [2]
> > > [3]
> > >     90.10.109.43 (Sun Oct 25 10:09:30 2009)
> > > ...
> > >
> > > Donc il trouve bien la ligne et en sort l'adresse IP. Seulement quand
> > > je vais voir dans les logs de fail2ban, il m'indique bien:
> > >
> > > 2009-10-25 03:02:23,735 fail2ban.filter : DEBUG  /var/log/auth.log has
> > > been modified
> > > 2009-10-25 03:02:23,736 fail2ban.filter.datedetector: DEBUG  Sorting
> > > the template list
> > >
> > > Donc il détecte bien que le fichier est modifié, donc je suppose qu'il
> > > l'analyse avec le regex ci-dessus, mais il ne banni personne...
> >
> > Je ne sais pas l'action que tu as choisi ...un oeil sur
> > iptables/ip6tables :
> >
> > % iptables -n -L
> > % ip6tables -n -L
> >
> > Comme teste, demande à un ami de se connecter sur ton IP au port SSH
> > (22).
> >
> >
> > @+
> > --
> > (o_
> > (/)_
> > S e r g e
>
> Dans banaction j'ai mit 'shorewall', qui correspond à la valeur par
> defaut contenu dans /etc/fail2ban/action.d/shorewall.conf.
>
> Dedans on y trouves ces deux lignes (je zappe les commentaires etc):
>
> actionban = shorewall drop <ip>
> actionban = shorewall allow <ip>
>
> iptables ne contient aucune entrée dans DROP/REJECT concernant une
> adresse IP quelquonque. J'essaye de me connecter moi même à la machine
> distante en me trompant de mot de passe, et comme dit précédemment, il
> détecte que le fichier de log est modifié mais ne fais rien.
>
> J'ai même tenté avec 'iptables-multiport' comme action, mais idem, c'est
> comme s'il n'essayait même pas d'éxécuté l'action, pusique rien n'est
> logé, aucune erreur rien...
>
> Si vous voulez essayer, voici l'ip de la machine: 91.121.52.49 / 22
>
> Cela pourrait t'il venir du fait que je sois en même temps connecté en
> ssh ? Et que du coup il ne banni pas quelqu'un déjà connecté?

Comme je disais: "que dissent iptables et ip6tables? "

% iptables -n -L
% ip6tables -n -L

De là tu connaitras la config de shorewall et la nouvelle de Fail2Ban. Pour le 
reste on verras suivant les retours de iptables et ip6tables.

@+
PS: on ne donne pas son IP sur une liste même sur Debian.
PS: on poste sur la liste, pas en double ( liste + privée ).
-- 
(o_
(/)_
S e r g e
Reply to: