Re: Fail2ban
Le 1 déc. 2015 à 15:56, andre_debian@numericable.fr a écrit :
> On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote:
>> Le 1 déc. 2015 à 14:17, andre_debian@numericable.fr a écrit :
>>> J'avais lancé un help sur ce sujet et modifié
>>> jail.conf et fail.local
>>> Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
>>> (tentatives de connexions sur des comptes mail) :
>>> "authentication failure; logname= uid=0 euid=0 tty=dovecot
>>> ruser=pascal.b@<domain.net> rhost=212.83.40.56 : 66 Times"
>>> Une personne qui n'est pas le propriétaire du mail,
>>> tente de se connecter 66 fois alors que le "maxretry=3"
>>> Ici, fail2ban ne joue pas son rôle, il reste insensible à ses configs.
>>> (je l'avais bien relancé).
>
>> Cette adresse IP est-elle rapportée dans Logwatch d'un jour à l'autre ? :
>
> Les IP intrusives changent d'un jour à l'autre.
Bon, ben alors c'est normal. Quand tu auras banni toutes les IP du pirate ça
va se tasser, mais ça prend évidemment plusieurs jours
>
>> La période de ban peut être augmentée (> 1 mois c'est bien) :
>
> Quelle est la ligne à ajouter/ configurer dans les fichiers jail.conf
> et .local ?
bantime = nombre de secondes en nombre entier
>
>> Sinon, les requêtes peuvent avoir été envoyées en même temps, et en
>> masse, c'est une technique utilisée pour passer les filtres fail2ban :
>
> Comment contourner la technique des ? :
> "requêtes envoyées en même temps et en masse".
À ma connaissance ce n'est pas possible. Par contre tu peux filtrer le nombre
de connections simultanées sur ton serveur ou avec iptables.
>
> André
>
>
Reply to: