Discussion :

[zoneech]

Bonjour,

Je cherches depuis quelques temps comment mettre en place fail2ban, je l'ai installer via apt-get install fail2ban mais celui-ci ne fonctionne pas.

Voici un exemple de bannissement qui n'a apparemment pas fonctionné :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
2010-08-02 14:45:56,227 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
2010-08-02 14:45:59,238 fail2ban.actions: WARNING [ssh] Ban 219.139.243.236
2010-08-02 14:45:59,252 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2010-08-02 14:45:59,253 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2010-08-02 14:45:59,266 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
2010-08-02 14:45:59,271 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2010-08-02 14:45:59,271 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-08-02 14:46:10,313 fail2ban.actions: WARNING [ssh] 219.139.243.236 already banned
2010-08-02 14:46:20,353 fail2ban.actions: WARNING [ssh] 219.139.243.236 already banned

J'ai installé fail2ban qui fonctionne correctement sur une autre machine, j'ai copier les fichiers de configuration que j'ai mis sur la machine actuel mais pareil après un relancement sans succès :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
2010-08-02 16:54:59,587 fail2ban.jail   : INFO   Jail 'ssh' started
2010-08-02 16:54:59,648 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100

Si vous pourriez m'aider je commence à pu avoir d'idée la, merci beaucoup

Cordialement,
Vincent

[matrix788]

salut,

il faudrait savoir si le ssh est activé dans ta config de jail.conf, et si le service ssh est correctement lancé.

[zoneech]

Salut,

Oui il est activé, j'ai mis des fichiers de conf qui fonctionnaient sur une autre machine donc je ne pense pas que cela vienne de la. Concernant le service ssh il est bien lancé oui.

Mais rien à faire :S toujours les messages d'erreur.

[matrix788]

désinstalle fail2ban, et installes-le à partir des sources (tgz).

Ce sera plus verbeux au niveau de la compil du configure, et du make.

[zoneech]

Je n'ai pas trouvé beaucoup de tutos sur le web sans l'apt-get.

J'ai donc direct mis la source qui est sur leur site web :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

wget http://ftp.de.debian.org/debian/pool/main/f/fail2ban/fail2ban_0.8.3.orig.tar.gz

Puis une fois dé-zipper et dans le dossier comme le demande le fichier README j'ai installer la source :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

python setup.py install

Puis le lancement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 /usr/bin/fail2ban-client start

Cependant quand je vais dans les logs (je ne sais pas encore si sa banni sa ne rentre pas de mauvais mot de passe pour le moment mais j'ai toujours cette erreur comme avant) :

2010-08-04 18:23:39,245 fail2ban.jail : INFO Jail 'ssh' started
2010-08-04 18:23:39,278 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100

Désolé pas un pro dans le domaine, j'espère que mes explication sont assez clair

[matrix788]

une des autres réponses que je verrais est iptables.

Tu as la possibilité de vider toutes tes règles ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -f

[zoneech]

Cette commande ne semble pas fonctionner, voici ce que j'obtiens :

server:~# iptables -f
iptables v1.4.2: no command specified
Try `iptables -h' or 'iptables --help' for more information.
server:~#

C'est vraiment pas gagner :S

[matrix788]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -F

désolé

[zoneech]

J'ai le même message d'erreur dans le fichier de logs.

Et après avoir mis la commande je n'obtiens rien, un simple retour a la ligne.

[zoneech]

Le problème ne viendrait pas de l'iptables ?

Y aurait-il un moyen de bannir manuellement une ip ? Et de la débannir ou cas ou également ?

Merci beaucoup