Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-09-2015 20:14:35

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

[résolu] Fail2ban - Configuration prisons

Bonjour,
A la lecture d'un certain nombre de pages sur Fail2ban, j'ai tenté d'ajouter des "prisons". Mais visiblement, ça ne marche pas très bien. J'en prends une en exemple

La définiton dans /etc/fail2ban/jail.local

# nginx
# merci Matthieu Patout
[nginx-404]
enabled  = true
filter   = nginx-404
action   = iptables-multiport[name=nginx-404, port=\"http,https\" protocol=tcp]
logpath = /var/log/nginx/access.log
maxretry = 2
findtime  = 6
bantime  = 1200
 



Le filtre dans /etc/fail2ban/filter.d/nginx-404.conf

[Definition]

# failregex = <HOST> - - [.*?] ".*?" 4(0[0-9]|1[0-5])
failregex = <HOST> - - [.*?] ".*?" 404

ignoreregex =
 


La ligne commentée est celle du tuto, remplacée pour essai par un simple '404'

Et enfin, l'erreur renvoyée au démarrage de fail2ban dans /var/log/fail2ban.log

2015-09-05 17:18:51,600 fail2ban.actions.action: ERROR  iptables -N fail2ban-nginx-404
iptables -A fail2ban-nginx-404 -j RETURN
iptables -I INPUT -p tcp -m multiport --dports \http,https\ protocol -j fail2ban-nginx-404 returned 200



Le résultat du test de

fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-404.conf


Running tests
=============

Use regex file : /etc/fail2ban/filter.d/nginx-404.conf
Use log file   : /var/log/nginx/access.log


Results
=======

Failregex
|- Regular expressions:
|  [1] <HOST> - - [.*?] ".*?" 404
|
`- Number of matches:
   [1] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Sorry, no match


On dirait qu'il n'y a pas d'erreur, sauf qu'on a 0 match, alors que la commande

grep -E 404 /var/log/nginx/access.log | wc -l


renvoie bien une valeur différente de 0 (4)
Et finalement, la prison en question n'est pas démarrée, et j'en ai plusieurs dans le même cas, mais pas toutes.

Ce que j'ai déjà essayé, sans résultat:
- Ajout de

time.sleep(0.2)

à l'endroit qui va bien.
- commenté l'action pour utiliser la "actionban" par défaut, qui est "iptables-multiport" et qui fonctionne avec d'autres filtres.
- vérifier que ma version de Fail2ban est supérieure à 8.5, celle qui a le patch qui est supposé résoudre ce problème.

Voilà, tout ça se passe sur un Raspberry Pi2, sur Wheezy, un noyau 4.1.6-v7+, avec Fail2ban en version 0.8.6-3wheezy3

Merci d'avance,
A+

Dernière modification par Yagermoe (06-09-2015 00:56:17)


Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

#2 05-09-2015 21:19:31

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : [résolu] Fail2ban - Configuration prisons

Salut,
Si tu n'as pas vu ce tuto, il pourra peut-être t'aider :
http://reseau.developpez.com/tutoriels/fail2ban
Le point 5 notamment... Bon courage...
smile
[Edit] en fait le point 5 ne te servira pas ; tu as déjà essayé... désolé pour ce post inutile... roll

Dernière modification par leonlemouton (05-09-2015 22:16:13)


Leonlemouton
°(")°

Hors ligne

#3 05-09-2015 22:16:09

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : [résolu] Fail2ban - Configuration prisons

Merci Leonlemouton,
Je n'avais pas vu celui-là, mais d'autres similaires ou j'ai retrouvé les 2 solutions proposées au point 5.
Sauf erreur de manip, mais j'ai fait 2 essais, la solution 1 ne fonctionne pas chez moi. J'ai vu sur d'autres sites que ça ne fonctionnait pas avec tout le monde.
Pour la solution 2, je suis déjà en 8.6-3.

En fait je ne sais pas si l'erreur est dans la syntaxe du regex ou ailleurs.....
Merci !

Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

#4 05-09-2015 22:36:17

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : [résolu] Fail2ban - Configuration prisons

Sinon il y a cette discussion avec vv222 featuring captnfab wink:
https://www.debian-fr.org/regex-filtre- … 49709.html
ça pourra peut-être te faire avancer...

Leonlemouton
°(")°

Hors ligne

#5 05-09-2015 22:53:24

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : [résolu] Fail2ban - Configuration prisons

J'ai vraiment beaucoup potassé avant de poster.......
Déjà vu !
D'où l'essai avec grep expliqué au premier message.

Mais merci de ton aide.

Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

#6 06-09-2015 00:02:05

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : [résolu] Fail2ban - Configuration prisons

C'est dingue ça, suffit de savoir que quelqu'un cherche avec toi, et paf, tu trouves !

C'est un problème de syntaxe dans la définition de l'action. Au lieu de

action   = iptables-multiport[name=nginx-404, port=\"http,https\" protocol=tcp]



il faut mettre

action   = iptables-multiport[name=nginx-404, port=80,443 protocol=tcp]



Pour trouver ça, il "suffit" de rentrer en commande l'erreur renvoyée par les logs, soit

iptables -I INPUT -p tcp -m multiport --dports \http,https\ protocol -j fail2ban-ngnix-404


iptables v1.4.14: invalid port/service `https protocol' specified



et là on voit que c'est un problème de port et on essaye.
Ce qui est bizarre, c'est que j'ai vu cette syntaxe sur plusieurs sites, sans jamais trouver l'erreur qui va avec.

Mais c'est pas si simple. Avant de faire la modif ci-dessus j'avais commenté la ligne "action" dans jail.local, sans avoir d'amélioration. J'ai trouvé bizarre que le message d'erreur soit le même alors que la commande est différente
J'avais compris que jail.local était utilisée à la place de jail.conf.
Alors, pour voir, j'ai commenté la même ligne dans les 2 fichiers. Et là, erreur au redémarrage de fail2ban, car il manquait la définition des ports.

Donc, c'est bien jail.local qui sert, mais en cas d'erreur, ce sont les règles de jail.conf qui sont appliquées.
De même, si dans une section donnée de jail.local, l'action n'est pas définie, on utilise l'action par défaut. Mais si dans la même section de jail.conf, on a définit une autre action, c'est celle-là qui s'applique.

Pour finir, j'ai enlevé la ligne "action" et ajouté une définiton de port

# nginx
# merci Matthieu Patout
[nginx-404]
enabled  = true
filter   = nginx-404
port=80,443
logpath = /var/log/nginx/access.log
maxretry = 2
findtime  = 6
bantime  = 1200



J'espère que ça pourra aider.

Merci Leonlemouton, ça marche toujours mieux quand on est plusieurs à chercher !
A+


Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

#7 06-09-2015 00:07:42

leonlemouton
Adhérent(e)
Distrib. : Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : Mate 1.8.1
Inscription : 14-08-2012

Re : [résolu] Fail2ban - Configuration prisons

smile
Super ! Merci bien pour le retour avec les explications ! cool
Si c'est résolu... tongue

Leonlemouton
°(")°

Hors ligne

#8 06-09-2015 00:59:33

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : [résolu] Fail2ban - Configuration prisons

Merci !
Tout à ma joie qu'on ait résolu ce truc là, j'en oubliait d'en faire part à tous, comme il se doit.
A+

Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

Pied de page des forums