1. #1
    Membre régulier
    Profil pro
    Inscrit en
    juin 2004
    Messages
    150
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2004
    Messages : 150
    Points : 79
    Points
    79

    Par défaut debian 8 - fail2ban - actionban - lancement script

    Bonjour,

    Je tente, sans succès pour le moment, de lancer un script, via fail2ban pour exécuter la commande nmap en cas de multiples connexions infructueuses et d'envoyer le résultat par émail.

    Mon script (bash) fonctionne très bien mais fail2ban ne lance pas mon script ...

    voici un extrait du fichier /etc/fail2ban/jail.conf

    [ssh]

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    [ssh]
    
    enabled  = true
    port     = ssh
    filter   = sshd
    logpath  = /var/log/auth.log
    maxretry = 3
    voici l'extrait du fichier /etc/fail2ban/filter.d/sshd.conf (a la fin du script se trouve la ligne : actionban = /root/test.sh ban <HOST> )


    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    # Fail2Ban configuration file
    #
    # Author: Cyril Jaquier
    #
    # $Revision$
    #
    
    [INCLUDES]
    
    # Read common prefixes. If any customizations available -- read them from
    # common.local
    before = common.conf
    
    
    [Definition]
    
    _daemon = sshd
    
    # Option:  failregex
    # Notes.:  regex to match the password failures messages in the logfile. The
    #          host must be matched by a group named "host". The tag "<HOST>" can
    #          be used for standard IP/hostname matching and is only an alias for
    #          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
    # Values:  TEXT
    #
    failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
                ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
                ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
                ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
                ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
                ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
                ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
                ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
                ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
                ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
    
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    #
    ignoreregex =
    
    #actionban = /root/test.sh ban [ip]
    actionban = /root/test.sh ban <HOST>
    voici mon script test.sh
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    #!/bin/bash
    
    if [ "$1" = 'ban' ]
      then
      nmap -sS -O $2|mail -s "[Fail2Ban]: nmap of $2" info@mon_nom_de_domaine.fr
    fi
    Quelqu'un à une idée pourquoi fail2ban ne lance pas le script /root/test.sh ?

    Merci d'avance pour votre aide.

  2. #2
    Membre confirmé
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    464
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2007
    Messages : 464
    Points : 622
    Points
    622

    Par défaut

    Bonjour,

    Je n'ai rien sous la main pour tester mais dans les actions ban tu peux utiliser "nativement" seulement les variables suivantes:

    1. <ip> IP address
    2. <failures> number of failures
    3. <time> unix timestamp of the ban time


    Bien cordialement

Discussions similaires

  1. probleme lancement script sous oracle
    Par lestat02 dans le forum RedHat / CentOS / Fedora
    Réponses: 0
    Dernier message: 28/02/2008, 16h44
  2. Demande information Transfert Ftp et lancement Script
    Par ideal dans le forum Balisage (X)HTML et validation W3C
    Réponses: 1
    Dernier message: 16/05/2007, 11h01
  3. Lancement script php via ssh
    Par furtif1 dans le forum Outils
    Réponses: 3
    Dernier message: 25/04/2007, 17h03
  4. Lancement script Sql en ligne de commande
    Par Poisson59 dans le forum MS SQL-Server
    Réponses: 1
    Dernier message: 23/11/2006, 11h27
  5. Lancement script pour pivoter des images
    Par steph_raynaud dans le forum JavaScript
    Réponses: 1
    Dernier message: 27/04/2006, 14h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo