Essais avec fail2ban [FAQ]

**troumad** · 23/01/2008, 18h01

Bonjour

Je teste fail2ban avec de réseau interne sur mon serveur. Il voit bien les erreurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@089156242052][~]# grep Failed /var/log/auth.log | grep 192.168.Y.XXX 
Jan 23 15:13:22 netjuke sshd[15001]: Failed password for troumad from 192.168.Y.XXX port 62771 ssh2
Jan 23 15:13:36 netjuke sshd[15004]: Failed password for troumad from 192.168.Y.XXX port 62772 ssh2
Jan 23 15:14:46 netjuke sshd[15011]: Failed password for troumad from 192.168.Y.XXX port 62779 ssh2
Jan 23 15:14:56 netjuke sshd[15013]: Failed password for troumad from 192.168.Y.XXX port 62780 ssh2
Jan 23 16:03:06 netjuke sshd[15711]: Failed password for troumad from 192.168.Y.XXX port 60776 ssh2
Jan 23 16:03:32 netjuke sshd[15714]: Failed password for troumad from 192.168.Y.XXX port 60777 ssh2
Jan 23 16:03:41 netjuke sshd[15717]: Failed password for troumad from 192.168.Y.XXX port 60778 ssh2
Jan 23 16:03:52 netjuke sshd[15720]: Failed password for troumad from 192.168.Y.XXX port 60779 ssh2
Jan 23 16:51:32 netjuke sshd[16038]: Failed password for troumad from 192.168.Y.XXX port 60977 ssh2
Jan 23 16:51:40 netjuke sshd[16040]: Failed password for troumad from 192.168.Y.XXX port 60978 ssh2
Jan 23 16:51:47 netjuke sshd[16042]: Failed password for troumad from 192.168.Y.XXX port 60979 ssh2
Jan 23 16:51:56 netjuke sshd[16045]: Failed password for troumad from 192.168.Y.XXX port 60980 ssh2
Jan 23 16:52:09 netjuke sshd[16047]: Failed password for troumad from 192.168.Y.XXX port 60981 ssh2
Jan 23 16:53:20 netjuke sshd[16156]: Failed password for troumad from 192.168.Y.XXX port 60984 ssh2
Jan 23 16:53:32 netjuke sshd[16159]: Failed password for troumad from 192.168.Y.XXX port 60985 ssh2

Il me semble avoir configurer normalement /etc/fail2ban/jail.conf pour ssh :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[DEFAULT]
ignoreip = 127.0.0.1
# On bannit bantime secondes une Ip qui fait maxretry erreurs en findtime secondes
bantime  = 600
findtime  = 600
maxretry = 3
backend = auto
 
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=2244, protocol=tcp]
           mail-whois[name=SSH, dest=bernard@troumad.org]
#logpath  = /var/log/sshd.log
logpath  = /var/log/auth.log
maxretry = 5

Et rien ne se passe...
Aucun blocage... Le fichier de log de fail2ban donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
2008-01-23 15:22:13,384 fail2ban.actions.action: INFO   Set actionUnban = 
2008-01-23 15:22:13,386 fail2ban.actions.action: INFO   Set actionCheck = 
2008-01-23 15:25:00,431 fail2ban.server : INFO   Exiting Fail2ban
2008-01-23 15:25:03,049 fail2ban.jail   : INFO   Using poller
2008-01-23 15:25:03,059 fail2ban.filter : INFO   Created Filter
2008-01-23 15:25:03,059 fail2ban.filter : INFO   Created FilterPoll
2008-01-23 15:25:03,061 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2008-01-23 15:25:03,063 fail2ban.filter : INFO   Set maxRetry = 5
2008-01-23 15:25:03,065 fail2ban.filter : INFO   Set findtime = 600
2008-01-23 15:25:03,067 fail2ban.actions: INFO   Set banTime = 600
2008-01-23 15:25:03,080 fail2ban.actions.action: INFO   Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2008-01-23 15:25:03,082 fail2ban.actions.action: INFO   Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2008-01-23 15:25:03,083 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2008-01-23 15:25:03,085 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2008-01-23 15:25:03,087 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2008-01-23 15:25:03,093 fail2ban.actions.action: INFO   Set actionBan = echo -en "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n\n
Here are more information about <ip>:\n
`whois <ip>`\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: banned <ip>" <dest>
2008-01-23 15:25:03,095 fail2ban.actions.action: INFO   Set actionStop = echo -en "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: stopped" <dest>
2008-01-23 15:25:03,096 fail2ban.actions.action: INFO   Set actionStart = echo -en "Hi,\n
The jail <name> has been started successfuly.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
2008-01-23 15:25:03,098 fail2ban.actions.action: INFO   Set actionUnban = 
2008-01-23 15:25:03,099 fail2ban.actions.action: INFO   Set actionCheck = 
2008-01-23 16:06:35,557 fail2ban.server : INFO   Exiting Fail2ban

Je suis surpris par les tag entre <> . Je me serais attendu à trouver les valeurs exactes !

**goldkey** · 24/01/2008, 09h41

Salut Troumad,

Deja tu pourrais activer le mode verbose dans fail2ban.conf ce qui t'aurais surement indiqué plus d'infos dans les logs

Sinon je pencherais plutot pour une erreur venant du failregex ssh.
J'ai deja eu ce type de probleme avec des versions packagées.

Verifie ta fonction regex
http://www.fail2ban.org/wiki/index.php/OpenSSH

**troumad** · 24/01/2008, 10h32

Surprenant...

Je passe en mode plus parlant, je relance fail2ban, je fais quelques essais volontairement ratés de ssh et je n'accède plus à mon serveur !
Je vais donc attendre de pouvoir à nouveau y accéder pour voir ce qu'il se passe !

La protection aurait marché ?

**troumad** · 24/01/2008, 10h39

Ça a marché !

Les log sont compréhensibles...
Moi, je n'y comprends plus rien ! Pourquoi ça ne marchait pas hier ????

**goldkey** · 24/01/2008, 10h58

L'essentiel c'est que cela fonctionne

Envoyé par troumad

Pourquoi ça ne marchait pas hier ????

Souvent la fatigue aide au non fonctionnement

**kiterfoo** · 22/11/2020, 00h17

ça fait deux jour que je me casse les dents sur fail2ban avec centos 8, et la je change le mode verbose et tout fonctionne comme il faut, un bug avec le mode INFO ????
En tout cas, merci pour cette solution je vais ajouter les message d'erreurs pour que les autre tombe dessus de suite.

ERROR NOK: ("can't convert complex to int",)

Essais avec fail2ban [FAQ]

Sécurité

Discussions similaires

Partager

Partager