Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-11-2016 18:34:58

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

[Résolu] Fail2Ban: Je n'arrive pas à modifier le maxretry d'une prison

Bonjour, smile

J'ai un problème que je ne comprends pas avec Fail2Ban scratchhead.gif

Dans mon fichier jail.local j'ai une prison intitulée [vsftpd] dont voici la configuration :

# FTP servers
# -------------------
[vsftpd]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
maxretry = 2


Elle fonctionne très bien, je reçois bien par mail les tentatives et les blocages de Fail2Ban.
Mais suite à de très nombreuses tentatives de connexion en brute forcing j'ai voulu réduire le maxretry à 2 (au lieu de 6 à la base).

J'ai bien redémarré Fail2Ban mais le maxretry ne s'est pas appliqué, les mails que je reçois sont toujours le résultat de 6 tentatives :

Hi,

The IP <@ip> has just been banned by Fail2Ban after
6 attempts against vsftpd.

Here are more information about
[...]


je ne comprends pas pourquoi

Avez-vous une idée ?
Merci beaucoup

Dernière modification par Xunil (09-11-2016 22:08:34)

Hors ligne

#2 09-11-2016 20:42:33

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : [Résolu] Fail2Ban: Je n'arrive pas à modifier le maxretry d'une prison

je commence avec des trucs simples, car je suis neophyte.

t'as verifier si la modification a bien ete noté dans la config? (problemes de droits)
faut-il reload fail2ban ou le restart?

je me permet de coller une ligne du manual de fail2ban:

http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 ou ca parle de jail
et taper le commande status <JAIL> , donc la vsftpd
on peut verifier si le jail est actif de ce que je comprend.

ou utiliser les commande jails configuration
http://www.fail2ban.org/wiki/index.php/Commands

je ne suis pas adepte du filtrage, mais il faut que je m'y mette, je ne sait pas si j'aurais ete utile.

et je ne comprend pas pourquoi tu recois tant d'attaque, est-ce vraiment des attaques ou un mauvais parametre sur le serveur?

Hors ligne

#3 09-11-2016 20:50:06

Yagermoe
Membre
Lieu : Entre Lyon et Valence
Distrib. : Jessie/Stretch
Noyau : 3.16.0-4-amd64/4.0-amd64
(G)UI : Openbox+Tint2/Xcfe
Inscription : 15-12-2011

Re : [Résolu] Fail2Ban: Je n'arrive pas à modifier le maxretry d'une prison

Bonjour,
J'ai constaté que reload or restart ne fonctionnent pas forcément. Il faut

service fail2ban stop


puis

service fail2ban start


A+

Dernière modification par Yagermoe (09-11-2016 20:50:22)


Asus M5A97 - Phenom X4 965 - 8 Go - Radeon HD6850
"Ceux qui ne savent rien en savent toujours autant que ceux qui n'en savent pas plus qu'eux" (P. Dac)

Hors ligne

#4 09-11-2016 22:07:44

Xunil
Membre
Distrib. : Debian GNU/Linux 7.6 - Wheezy
Noyau : 3.10.23
Inscription : 19-03-2016

Re : [Résolu] Fail2Ban: Je n'arrive pas à modifier le maxretry d'une prison

@Yagermoe : Merci, en effet, un bon vrai stop suivis d'un start a fonctionné smile

@mizapar : Merci pour tes suggestions. Concernant le serveur il s'agit bien d'attaques, avec toutes une panoplie de logins courants (ftp, test, test1, admin, ...) sur tous les domaines -_-

Si tu veux voir un extrait des logs :

[...]
Wed Nov  9 18:53:41 2016 [pid 19500] CONNECT: Client "46.39.*.*"
Wed Nov  9 18:53:43 2016 [pid 19498] [admin] FAIL LOGIN: Client "46.39.*.*"
Wed Nov  9 18:53:46 2016 [pid 19504] CONNECT: Client "46.39.*.*"
Wed Nov  9 18:53:48 2016 [pid 19503] [test12345] FAIL LOGIN: Client "46.39.*.*"
Wed Nov  9 18:53:51 2016 [pid 19506] CONNECT: Client "46.39.*.*"
Wed Nov  9 18:53:53 2016 [pid 19505] [tester] FAIL LOGIN: Client "46.39.*.*"
Wed Nov  9 18:53:55 2016 [pid 19509] CONNECT: Client "46.39.*.*"
Wed Nov  9 18:53:58 2016 [pid 19507] [test] FAIL LOGIN: Client "46.39.*.*"
Wed Nov  9 18:54:00 2016 [pid 19513] CONNECT: Client "46.39.*.*1"
Wed Nov  9 18:54:03 2016 [pid 19511] [test1] FAIL LOGIN: Client "46.39.*.*"
Wed Nov  9 18:54:05 2016 [pid 19560] CONNECT: Client "46.39.*.*"
Wed Nov  9 18:54:08 2016 [pid 19558] [ftp] FAIL LOGIN: Client "46.39.*.*"
[...]
Wed Nov  9 18:18:16 2016 [pid 17027] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:19 2016 [pid 17026] [administrator] FAIL LOGIN: Client "193.239.*.*"
Wed Nov  9 18:18:21 2016 [pid 17036] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:23 2016 [pid 17035] [guest] FAIL LOGIN: Client "193.239.*.*"
Wed Nov  9 18:18:26 2016 [pid 17040] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:28 2016 [pid 17039] [guest1] FAIL LOGIN: Client "193.239.*.*"
Wed Nov  9 18:18:30 2016 [pid 17046] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:33 2016 [pid 17045] [test1234] FAIL LOGIN: Client "193.239*.*"
Wed Nov  9 18:18:35 2016 [pid 17068] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:38 2016 [pid 17067] [web1] FAIL LOGIN: Client "193.239.*.*"
Wed Nov  9 18:18:40 2016 [pid 17077] CONNECT: Client "193.239.*.*"
Wed Nov  9 18:18:42 2016 [pid 17075] [web] FAIL LOGIN: Client "193.239.*.*"
Wed Nov  9 18:18:44 2016 [pid 17081] CONNECT: Client "193.239.*.*"
[...]

Dernière modification par Xunil (09-11-2016 22:09:04)

Hors ligne

#5 09-11-2016 23:28:27

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : [Résolu] Fail2Ban: Je n'arrive pas à modifier le maxretry d'une prison

cool, la reponse de Yagermoe est a noté pour les users de fail2ban

Hors ligne

Pied de page des forums