logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-05-2010 11:36:55

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

[Résolu] Probleme de blocage avec fail2ban !

Bonjour a tous !

Je suis sur debian lenny avec des services réseau actifs ssh, proxy etc... Je souhaite installer fail2ban pour me protéger contre les attaques vers mon serveur ssh or c'est pas la première fois que je l'utilise et jusqu'a présent j'ai pas eu de problème de config mais la je refait comme d'habitude mais il banni pas du tout et rajoute pas de règles iptables donc j'aimerais avoir votre aide svp !!!

Je pense que je bloque au niveau de la version récente de celui ci !

Dernière modification par ostyll (19-05-2010 09:07:36)

Hors ligne

#2 13-05-2010 13:45:09

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : [Résolu] Probleme de blocage avec fail2ban !

tu peux nous montrer ton fichier de config ? ( /etc/fail2ban/jail.conf )

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#3 13-05-2010 17:28:42

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

Re : [Résolu] Probleme de blocage avec fail2ban !

Donc merci pour ta réponse rapide je vais te poster mon fichier de config !!!

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = mail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mw)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh
filter    = sshd
logpath  = /var/log/auth.log
maxretry = 3

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter    = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port    = http,https
filter    = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter      = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# }
#
# in your named.conf to provide proper logging

# Word of Caution:
# Given filter can lead to DoS attack against your DNS server
# since there is no way to assure that UDP packets come from the
# real source IP
[named-refused-udp]

enabled  = false
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Hors ligne

#4 14-05-2010 01:12:59

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : [Résolu] Probleme de blocage avec fail2ban !

ok la config a l'air bonne, que dit le log auth.log quand tu essaye de te connecter plusieur fois ?

As-tu plusieurs carte reseau ?

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#5 14-05-2010 22:37:30

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

Re : [Résolu] Probleme de blocage avec fail2ban !

Ben justement après plusieurs test je peux te confirmer que le log auth ne dit absolument rien !!!! Ce qui m'étonne beaucouq !!! Et deux carte réseau une désactiver et une que j'utilise pour mon réseau.

Hors ligne

#6 15-05-2010 21:20:14

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64 <- et oui !!!
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007

Re : [Résolu] Probleme de blocage avec fail2ban !

si ya rien dans les logs c'est normal que fail2ban ne bloque pas, quand tu te co en ssh ya vraiment rien dans auth.log ?

Si c est le cas regarde dans le syslog

MaTTuX_

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 19-05-2010 07:03:16

ostyll
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.0.0-1-amd64
(G)UI : Gnome 2.30.2
Inscription : 13-05-2010

Re : [Résolu] Probleme de blocage avec fail2ban !

Ben je crois que j'ai résolu mon problème !!
En faite ma configuration ssh est une authentification par clé, filtrer par la liste utilisateur autoriser (Allowusers). Après plusieurs test le log /var/log/auth ne me renvoi pas d'erreur lors de plusieurs échec au niveau du mot de passe ce qui est très bizarre ?! Alors qu'il me renvoi systématiquement une erreur lors d'un mauvais login utilisateur ou sans clé et c'est avec ceci que fail2ban bloque !!
Ce que je comprend pas il y a pas si longtemps de ça, lors que mon précédent serveur, fail2ban bloquait avec l'échec de mot de passe définit par le nombre en question !!! quelqu'un a une idée ????!!!!

Hors ligne

#8 19-05-2010 08:09:16

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Résolu] Probleme de blocage avec fail2ban !

Si c'est résolu, tu peux ajouter [Résolu] dans ton titre en éditant ton premier post par Modifier.

Si tu as une nouvelle discussion, tu peux ouvrir un nouveau post où tu mets l'[large]url[/large] de ce fil pour plus d'informations, et vice et versa, c'est à dire d'ajouter l'url de la nouvelle discussion sur ce fil.

Cela permet dans le temps la consultation des problèmes résolus plus facile-ment. N'est-il pas ? wink

Amitié, Joel

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums