Précédent   Forum des professionnels en informatique > Systèmes > Linux > Sécurité
Recharger cette page Essais avec fail2ban [FAQ] [Résolu]
S'inscrire Règles FAQ Marquer les forums comme lus
Sécurité Vos questions sur la sécurité sous Linux/Unix
Partagez cette discussion sur d'autres réseaux sociaux : Viadeo Twitter Google Facebook Digg Delicious MySpace Yahoo
Réponse Proposer ce sujet en actualité
 
Outils de la discussion
Publicité
'
Vieux 23/01/2008, 17h01   #1
Rédacteur/Modérateur
 
Avatar de troumad
 
Homme Bernard SIAUD
Enseignant
Inscription : novembre 2003
Messages : 4 400
Détails du profil
Informations personnelles :
Nom : Homme Bernard SIAUD
Âge : 44
Localisation : France, Rhône (Rhône Alpes)

Informations professionnelles :
Activité : Enseignant
Secteur : Enseignement

Informations forums :
Inscription : novembre 2003
Messages : 4 400
Points : 4 943
Points : 4 943
Par défaut Essais avec fail2ban
Bonjour

Je teste fail2ban avec de réseau interne sur mon serveur. Il voit bien les erreurs :
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@089156242052][~]# grep Failed /var/log/auth.log | grep 192.168.Y.XXX 
Jan 23 15:13:22 netjuke sshd[15001]: Failed password for troumad from 192.168.Y.XXX port 62771 ssh2
Jan 23 15:13:36 netjuke sshd[15004]: Failed password for troumad from 192.168.Y.XXX port 62772 ssh2
Jan 23 15:14:46 netjuke sshd[15011]: Failed password for troumad from 192.168.Y.XXX port 62779 ssh2
Jan 23 15:14:56 netjuke sshd[15013]: Failed password for troumad from 192.168.Y.XXX port 62780 ssh2
Jan 23 16:03:06 netjuke sshd[15711]: Failed password for troumad from 192.168.Y.XXX port 60776 ssh2
Jan 23 16:03:32 netjuke sshd[15714]: Failed password for troumad from 192.168.Y.XXX port 60777 ssh2
Jan 23 16:03:41 netjuke sshd[15717]: Failed password for troumad from 192.168.Y.XXX port 60778 ssh2
Jan 23 16:03:52 netjuke sshd[15720]: Failed password for troumad from 192.168.Y.XXX port 60779 ssh2
Jan 23 16:51:32 netjuke sshd[16038]: Failed password for troumad from 192.168.Y.XXX port 60977 ssh2
Jan 23 16:51:40 netjuke sshd[16040]: Failed password for troumad from 192.168.Y.XXX port 60978 ssh2
Jan 23 16:51:47 netjuke sshd[16042]: Failed password for troumad from 192.168.Y.XXX port 60979 ssh2
Jan 23 16:51:56 netjuke sshd[16045]: Failed password for troumad from 192.168.Y.XXX port 60980 ssh2
Jan 23 16:52:09 netjuke sshd[16047]: Failed password for troumad from 192.168.Y.XXX port 60981 ssh2
Jan 23 16:53:20 netjuke sshd[16156]: Failed password for troumad from 192.168.Y.XXX port 60984 ssh2
Jan 23 16:53:32 netjuke sshd[16159]: Failed password for troumad from 192.168.Y.XXX port 60985 ssh2
Il me semble avoir configurer normalement /etc/fail2ban/jail.conf pour ssh :
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[DEFAULT]
ignoreip = 127.0.0.1
# On bannit bantime secondes une Ip qui fait maxretry erreurs en findtime secondes
bantime  = 600
findtime  = 600
maxretry = 3
backend = auto
 
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=2244, protocol=tcp]
           mail-whois[name=SSH, dest=bernard@troumad.org]
#logpath  = /var/log/sshd.log
logpath  = /var/log/auth.log
maxretry = 5
Et rien ne se passe...
Aucun blocage... Le fichier de log de fail2ban donne :
Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
2008-01-23 15:22:13,384 fail2ban.actions.action: INFO   Set actionUnban = 
2008-01-23 15:22:13,386 fail2ban.actions.action: INFO   Set actionCheck = 
2008-01-23 15:25:00,431 fail2ban.server : INFO   Exiting Fail2ban
2008-01-23 15:25:03,049 fail2ban.jail   : INFO   Using poller
2008-01-23 15:25:03,059 fail2ban.filter : INFO   Created Filter
2008-01-23 15:25:03,059 fail2ban.filter : INFO   Created FilterPoll
2008-01-23 15:25:03,061 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2008-01-23 15:25:03,063 fail2ban.filter : INFO   Set maxRetry = 5
2008-01-23 15:25:03,065 fail2ban.filter : INFO   Set findtime = 600
2008-01-23 15:25:03,067 fail2ban.actions: INFO   Set banTime = 600
2008-01-23 15:25:03,080 fail2ban.actions.action: INFO   Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2008-01-23 15:25:03,082 fail2ban.actions.action: INFO   Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2008-01-23 15:25:03,083 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2008-01-23 15:25:03,085 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2008-01-23 15:25:03,087 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2008-01-23 15:25:03,093 fail2ban.actions.action: INFO   Set actionBan = echo -en "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n\n
Here are more information about <ip>:\n
`whois <ip>`\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: banned <ip>" <dest>
2008-01-23 15:25:03,095 fail2ban.actions.action: INFO   Set actionStop = echo -en "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: stopped" <dest>
2008-01-23 15:25:03,096 fail2ban.actions.action: INFO   Set actionStart = echo -en "Hi,\n
The jail <name> has been started successfuly.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
2008-01-23 15:25:03,098 fail2ban.actions.action: INFO   Set actionUnban = 
2008-01-23 15:25:03,099 fail2ban.actions.action: INFO   Set actionCheck = 
2008-01-23 16:06:35,557 fail2ban.server : INFO   Exiting Fail2ban
Je suis surpris par les tag entre <> . Je me serais attendu à trouver les valeurs exactes !
__________________
Modérateur Mandriva Linux
Amicalement VOOotre
Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
Mes tutoriels
troumad est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 24/01/2008, 08h41   #2
Membre émérite
 
Avatar de goldkey
 
Inscription : mars 2003
Messages : 795
Détails du profil
Informations personnelles :
Âge : 31

Informations forums :
Inscription : mars 2003
Messages : 795
Points : 842
Points : 842
Salut Troumad,

Deja tu pourrais activer le mode verbose dans fail2ban.conf ce qui t'aurais surement indiqué plus d'infos dans les logs

Sinon je pencherais plutot pour une erreur venant du failregex ssh.
J'ai deja eu ce type de probleme avec des versions packagées.

Verifie ta fonction regex
http://www.fail2ban.org/wiki/index.php/OpenSSH
goldkey est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 24/01/2008, 09h32   #3
Rédacteur/Modérateur
 
Avatar de troumad
 
Homme Bernard SIAUD
Enseignant
Inscription : novembre 2003
Messages : 4 400
Détails du profil
Informations personnelles :
Nom : Homme Bernard SIAUD
Âge : 44
Localisation : France, Rhône (Rhône Alpes)

Informations professionnelles :
Activité : Enseignant
Secteur : Enseignement

Informations forums :
Inscription : novembre 2003
Messages : 4 400
Points : 4 943
Points : 4 943
Surprenant...

Je passe en mode plus parlant, je relance fail2ban, je fais quelques essais volontairement ratés de ssh et je n'accède plus à mon serveur !
Je vais donc attendre de pouvoir à nouveau y accéder pour voir ce qu'il se passe !

La protection aurait marché ?
__________________
Modérateur Mandriva Linux
Amicalement VOOotre
Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
Mes tutoriels
troumad est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 24/01/2008, 09h39   #4
Rédacteur/Modérateur
 
Avatar de troumad
 
Homme Bernard SIAUD
Enseignant
Inscription : novembre 2003
Messages : 4 400
Détails du profil
Informations personnelles :
Nom : Homme Bernard SIAUD
Âge : 44
Localisation : France, Rhône (Rhône Alpes)

Informations professionnelles :
Activité : Enseignant
Secteur : Enseignement

Informations forums :
Inscription : novembre 2003
Messages : 4 400
Points : 4 943
Points : 4 943
Ça a marché !

Les log sont compréhensibles...
Moi, je n'y comprends plus rien ! Pourquoi ça ne marchait pas hier ????
__________________
Modérateur Mandriva Linux
Amicalement VOOotre
Troumad Alias Bernard SIAUD à découvrir sur http://troumad.org
Mes tutoriels
troumad est déconnecté   Envoyer un message privé Réponse avec citation 00
Vieux 24/01/2008, 09h58   #5
Membre émérite
 
Avatar de goldkey
 
Inscription : mars 2003
Messages : 795
Détails du profil
Informations personnelles :
Âge : 31

Informations forums :
Inscription : mars 2003
Messages : 795
Points : 842
Points : 842
L'essentiel c'est que cela fonctionne

Citation:
Envoyé par troumad Voir le message
Pourquoi ça ne marchait pas hier ????
Souvent la fatigue aide au non fonctionnement
goldkey est déconnecté   Envoyer un message privé Réponse avec citation 00
Réponse Proposer ce sujet en actualité Cette discussion est résolue.
Outils de la discussion



Fuseau horaire GMT +2. Il est actuellement 17h50.

Nous contacter - Developpez.com - Archives - Haut de page

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum Linux Professionnel

Blogs

Hébergement

 
Partenaires

Hébergement Web