Re: fail2ban : sshd jail ne fonctionne pas (encore)

[Belaïd <oblivion.ikiub@gmail.com>]

Salut, 

Comme les serveurs sont identiques,  pourquoi ne pas mettre la config des jails dans le même dossier ?  À ta place Je ferai ça dans /etc/fail2ban/jail.d/

Le jeu. 11 juil. 2019 17:06, fab <regnier.fab@free.fr> a écrit :

salut la liste,

Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.


serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2

serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2

Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.

Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN


/var/log/fail2ban.log des Serveurs A et B sont identiques:

  Stopping all jails
  Jail 'sshd' stopped
  Exiting Fail2ban
  Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
  Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
  Creating new jail 'sshd'
  Jail 'sshd' uses pyinotify {}
  Initiated 'pyinotify' backend
  Set jail log file encoding to UTF-8
  Set maxRetry = 2
  Added logfile = /var/log/auth.log
  Set findtime = 600
  Set banTime = 600
  Set maxlines = 10
  Jail sshd is not a JournalFilter instance
  Jail 'sshd' started

/etc/hosts.allow sur les 2 serveurs sont les même.

Bref, c'est tout pareil (à priori).

Quand je fais un ssh toto@serveurB:2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.

Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44  user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2

Quand je fais un ssh toto@serveurA:2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.

Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44  user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost=11.22.33.44  user=toto

Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.

Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!

merki,

f.