IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

[fail2ban] : filter.d - .conf - failregex


Sujet :

Sécurité

  1. #1
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2014
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Novembre 2014
    Messages : 374
    Points : 47
    Points
    47
    Par défaut [fail2ban] : filter.d - .conf - failregex
    Bonjour à tous,

    J'essaie de mettre en place un fichier de conf pour traiter les logs de mon serveur nextcloud.

    Le problème c'est que je connais pas bien la syntaxe pour traiter le problème. Si vous avez une doc pour cela, je suis preneur.

    Voici mes logs à traiter :

    Code actionscript3 : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    {
    "reqId":"nkUHMTIR238pHO8fZ4E3",
    "level":2,
    "time":"January 29, 2018 21:25:30",
    "remoteAddr":"192.168.1.1",
    "user":"--",
    "app":"core",
    "method":"POST",
    "url":"\/login?user=arthur575",
    "message":"Login failed: 'arthur575' (Remote IP: '192.168.1.1')",
    "userAgent":"Mozilla\/5.0 (X11; Linux x86_64; rv:52.0) Gecko\/20100101 Firefox\/52.0",
    "version":"12.0.5.3"
    }

    en une ligne :

    Code actionscript3 : Sélectionner tout - Visualiser dans une fenêtre à part
    {"reqId":"nkUHMTIR238pHO8fZ4E3","level":2,"time":"January 29, 2018 21:25:30","remoteAddr":"192.168.1.1","user":"--","app":"core","method":"POST","url":"\/login?user=arthur575","message":"Login failed: 'arthur575' (Remote IP: '192.168.1.1')","userAgent":"Mozilla\/5.0 (X11; Linux x86_64; rv:52.0) Gecko\/20100101 Firefox\/52.0","version":"12.0.5.3"}

    Voici le fichier de conf que j'ai fait avec failregex pour le moment qui ne match pas par rapport au log.

    Je ne connais que la syntaxe :
    - .* -> signifie qu'on fait abstraction de cette valeur

    Code actionscript3 : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    ][Definition] 
    failregex = {
    "reqId":".*",
    "level":2,
    "time":".*",
    "remoteAddr":".*",
    "user":".*",
    "app":"core",
    "method":".*",
    "url":".*",
    "message":"Login failed: '.*' \(Remote IP: '<HOST>'\)",
    "userAgent":".*",
    "version":".*"
    }

    en ligne :

    Code actionscript3 : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    ][Definition] 
    failregex = {"reqId":".*","level":2,"time":".*","remoteAddr":".*","user":".*","app":"core","method":".*","url":".*","message":"Login failed: '.*' \(Remote IP: '<HOST>'\)","userAgent":".*","version":".*"}

    On m'a donné cette solution (ci-dessous) mais elle ne fonctionne pas lorsque j'execute la commande

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    failregex = : .*?"Login failed: '.*' \(Remote IP: '<HOST>'\)"
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    sudo fail2ban-regex /var/tmp/nextcloud.log /etc/fail2ban/filter.d/nextcloud.conf
    On m'a orienté vers ces deux sites mais aussi mais je n'avance pas sur la question :

    https://regex101.com/
    https://regexper.com/

    Merci d'avance.

  2. #2
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2014
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Novembre 2014
    Messages : 374
    Points : 47
    Points
    47
    Par défaut
    Je continue de chercher comment m'en sortir.

    J'avance dans le sens ou je sais que :
    1-mon fichier log est de type "FailJSON metadata" (voir 1er lien)
    2-que fail2ban utilise du python

    J'ai vu un lien pour fail2ban et la partie python qui le compose :

    https://fail2ban.readthedocs.io/en/latest/filters.html
    https://docs.python.org/2/library/re.html

    Il parait que mon fichier log est en fait de type "FailJSON metadata".

    Le chapitre "Developing Filter Regular Expressions" du 1er lien pourrait être une piste.

    Voici une conf classique de ce que j'ai pour du ssh/sshd (mdp : fail2ban) :

    https://serveur1.freewind.fr/s/wtl4iZgYIxzqXsp

Discussions similaires

  1. fail2ban sasl bug postfix-sasl.conf
    Par panthere noire dans le forum Sécurité
    Réponses: 2
    Dernier message: 28/08/2015, 16h54
  2. Conf DNS pour serveur mail avec IP dynamique ?
    Par ovh dans le forum Réseau
    Réponses: 9
    Dernier message: 14/06/2004, 23h55
  3. sélection des bd en fonction des utilisateurs (pg_hba.conf)
    Par Bouboubou dans le forum PostgreSQL
    Réponses: 9
    Dernier message: 18/03/2004, 19h34
  4. propriete filtered
    Par crocodingo dans le forum Bases de données
    Réponses: 9
    Dernier message: 15/02/2004, 21h08
  5. CFileDialog Filter
    Par Patrick Beaudoin dans le forum MFC
    Réponses: 4
    Dernier message: 07/09/2002, 10h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo