Debian-facile

Didier100

Membre

Inscription : 11-08-2010

debian 10 - fail2ban - aucune règle dans iptables ?

Bonjour,

Je viens d'installer une Debian 10 sur un serveur virtuel (Proxmox) qui tourne pour le moment en local.
C'est un serveur de test pour me familiariser avec Debian 10.

J'ai installé fail2ban

sudo apt-get install fail2ban

puis j'ai fait un test en lancent la commande

sudo iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

En voulant modifiér le /etc/fail2ban/jail.conf j'ai lu qu'il ne faut pas modifier ce fichier

# YOU SHOULD NOT MODIFY THIS FILE.

et j'ai ainsi crée le fichier jail.local

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

j'ai édité ensuite le fichier jail.local

sudo vim /etc/fail2ban/jail.local

et modifié une partie du code

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]
enabled = true
port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s

Puis j'ai redémarré fail2ban comme suite

sudo fail2ban-client restart

En exécutant

sudo iptables -L -n

j'ai toujours:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Aucune règle à été transcrite dans iptables!

La commande suivante

sudo fail2ban-client status

m'affiche

Status
|- Number of jail:      2
`- Jail list:   dropbear, sshd

On voit donc bel et bien que les deux règles ont été prise en compte en tout cas par fail2ban ...


La commande

apt-cache policy iptables

donne

iptables:
  Installé : 1.8.2-4
  Candidat : 1.8.2-4
Table de version :
*** 1.8.2-4 500
        500 http://deb.debian.org/debian buster/main i386 Packages
        100 /var/lib/dpkg/status

et la commande

apt-cache policy nftables

donne

nftables:
  Installé : (aucun)
  Candidat : 0.9.0-2
Table de version :
     0.9.0-2 500
        500 http://deb.debian.org/debian buster/main i386 Packages

Ma question: Que doit je faire pour que fail2ban me permet de transcrire / créer des règles dans iptables?

Merci d'avance pour votre aide

Dernière modification par Didier100 (29-08-2019 16:24:55)

Didier100

Membre

Inscription : 11-08-2010

Re : debian 10 - fail2ban - aucune règle dans iptables ?

Bonjour,

Dans le fichier

/var/log/syslog

j'ai trouvé ses messages

Aug 30 09:44:34 debian systemd[1]: Starting Fail2Ban Service...
Aug 30 09:44:34 debian systemd[1]: Started Fail2Ban Service.
Aug 30 09:44:34 debian fail2ban-server[783]:  Server already running
Aug 30 09:44:34 debian fail2ban-server[783]:  Async configuration of server failed
Aug 30 09:44:50 debian fail2ban-client[804]:  Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?
Aug 30 09:44:50 debian systemd[1]: fail2ban.service: Control process exited, code=exited, status=255/EXCEPTION
Aug 30 09:44:50 debian systemd[1]: fail2ban.service: Failed with result 'exit-code'.

après avoir exécuté les deux commandes suivantes:

sudo /etc/init.d/fail2ban start
sudo fail2ban-client restart

et pourtant:

user@debian:/var/log$ sudo fail2ban-client status
Status
|- Number of jail:      2
`- Jail list:   dropbear, sshd
user@debian:/var/log$

Pour information:

Version de fail2ban

apt-cache policy fail2ban

user@debian:/var/log$ sudo apt-cache policy fail2ban
fail2ban:
  Installé : 0.10.2-2.1
  Candidat : 0.10.2-2.1
Table de version :
*** 0.10.2-2.1 500
        500 http://deb.debian.org/debian buster/main i386 Packages
        100 /var/lib/dpkg/status
user@debian:/var/log$

Voici ce que donne la commande : 

sudo service fail2ban status

user@debian:/var/log$ sudo service  fail2ban status
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-08-30 10:12:02 CEST; 12min ago
     Docs: man:fail2ban(1)
  Process: 890 ExecStartPre=/bin/mkdir -p /var/run/fail2ban (code=exited, status=0/SUCCESS)
Main PID: 808 (fail2ban-server)
    Tasks: 0 (limit: 4915)
   Memory: 164.0K
   CGroup: /system.slice/fail2ban.service
           ‣ 808 /usr/bin/python3 /usr/bin/fail2ban-server --async -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid --loglevel I

août 30 10:12:02 debian systemd[1]: Starting Fail2Ban Service...
août 30 10:12:02 debian systemd[1]: Started Fail2Ban Service.
août 30 10:12:02 debian fail2ban-server[891]:  Server already running
août 30 10:12:02 debian fail2ban-server[891]:  Async configuration of server failed

Je tire votre attention sur l'extrait du message : Async configuration of server failed

Donc problème pour le moment non résolu !

Je vais donc certainement être oublié de réinstaller fail2ban ...

Dernière modification par Didier100 (02-09-2019 09:32:36)

Didier100

Membre

Inscription : 11-08-2010

Re : debian 10 - fail2ban - aucune règle dans iptables ?

Bonjour,

J'ai effectué une réinstallation de Debian 10 et il met toujours impossible de faire fonctionner fail2ban avec iptables!!!

Le problème reste le même.

Par curiosité j'ai créée une autre machine virtuelle sur mon serveur PROXMOX de test avec une debian 9.9 et la je n'ai eu aucun problème à l'installer et de faire coopérer fail2ban avec iptables.

Sans y toucher à la configuration la règle ssh à été activé par défaut

root@debian:/home/user# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
root@debian:/home/user#

Quelqu'un a t-il réussi à faire fonctionner fail2ban avec iptables sous DEBIAN 10 ?
.
.

Dernière modification par Didier100 (02-09-2019 10:17:19)

leonlemouton

Adhérent(e)

Distrib. : Debian Stable

(G)UI : Mate ∨ LXQt

Inscription : 14-08-2012

Re : debian 10 - fail2ban - aucune règle dans iptables ?

Il semble que iptables ait été remplacé par nftables:
https://wiki.debian.org/nftables
Le souci vient peut-être de là.
Hum ok nftables est mentionné dans le premier post... Sorry.
il y a des infos ici :
https://github.com/fail2ban/fail2ban/pull/1292/
Bon courage.

Dernière modification par leonlemouton (02-09-2019 12:57:34)

---

Leonlemouton
°(")°

Didier100

Membre

Inscription : 11-08-2010

Re : debian 10 - fail2ban - aucune règle dans iptables ?

Bonjour leonlemouton,

Merci pour votre commentaire.

Comme vous l'avez vue nftables n'est même pas installé... comme indique dans mon premier message.

Je vais faire un autre essai:

Je vais prendre ma machine virtuelle avec la Debian 9.9 et faire un upgrade vers Debian 10 ... ce n'est qu'un essaie de contournement de problème!

On verra ensuite ce que vas se passer ... je vous tiens informé.

Un de mes collèges de travail vas s'y mettre aussi pour trouver une solution permettent de trouver un remède à ce problème.

Je ne serais pas surpris qu'il s'agit soit d'un bug, ou si non il me manque une information due aux changements qui ont été apporté à debian 10.

Une autre idée sera d'activer nftables et voire ce qui se passe ... mais je ne pas envie de tester cela car je ne suis pas attiré par nftables.

J'ai lu sur un autre site web le message suivant:

nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-i … -iptables/

A suivre....

Didier100

Membre

Inscription : 11-08-2010

Re : debian 10 - fail2ban - aucune règle dans iptables ?

C'est bon j'ai trouvé la solution en passent par le forum

https://swisslinux.org/forum/viewtopic. … 952#p27952

ou j'ai poste mon message ce matin.

Voici ma réponse à Claudep ( sur swisslinux.org ) qui ma mis sur la piste ....

Bonjour Claudep,

Effectivement quand je me connecte avec putty sur ma machine virtuelle et quand je rentre 5 fois de suite une fausse combinaison de login/mot de passe
je suis banni durant 10 minutes ...

Ce qui est intéressant avec  Proxmox c'est qu'il me permet quand même me connecter via la console de Proxmox et voire ce qui se passe.

Je constaté que la chaine  f2b-sshd à été ajouté après la 5ème fausse entrée.

Un extrait de la commande
sudo iptables -L -n

Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  192.168.1.97         0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Une fois que les 10 minutes de bannissement se sont écoulé la chaine f2b-sshd reste dans iptables donc visible avec la commande

sudo iptables -L -n

Si j'arrête ma machine virtuelle avec la commande shutdown puis la redémarre de nouveau la chaine f2b-sshd ne figure plus dans iptables!

Il vas falloir que je m'habitue à ses changements bizarres de DEBIAN 10 alias BUSTER !

En tout cas un grand MERCI pour ton aide Claudep.

Dernière modification par Didier100 (09-09-2019 21:02:22)

Zer00CooL

Membre

Inscription : 08-03-2016

Re : debian 10 - fail2ban - aucune règle dans iptables ?

Concernant le fait que tu n'avais rien dans iptables, c'est normal. Les règles de banissement sont écrites uniquement une fois qu'une ip correspond à une règle de bannissement, donc, une règle pour chacune des ip attaquantes identifiées. Il ne s'agit donc pas de règles iptables mises en places lors de l'installation de fail2ban.

Ensuite, ton dernier message ne correspond pas à la situation donnée précédemment, puisque, si Fail2ban ne démarre effectivement pas, il ne peut pas bloquer des ip attaquantes.
C'est donc que entre temps, tu as du arriver à le faire démarrer ?

Personnellement j'utilise :
sudo service fail2ban restart
...même si l'usage de systemctl semble conseillé actuellement.

Je complète suite au message d'erreur de Fail2ban au démarrage !
Cette commande permet notamment d'identifier une erreur au démarrage, par exemple, si un fichier de log ne peut pas être chargé car il n'existe pas, pour une règle, fail2ban sera en échec de démarrage :
sudo systemctl status fail2ban

Tu as également la valeur -t ou --test qui devrait être d'avantage verbeuse.

Dès lors ou fail2ban a bien pu démarrer, ET, que une ou plusieurs règles ont été activées, alors, il est possible de tester si fail2ban fonctionne, en fonction des règles qui ont été activées.

Par contre, je n'en sais pas plus pour fail2ban-client et fail2ban-serveur
Je me suis contenté d'installer " fail2ban " sur Debian 10, et, ça fonctionne très bien sur mon serveur web en production.

Dans le manuel, on retrouve l'information suivante concernant --async , je ne sais pas si c'est lié à l'erreur Async configuration of server failed
       --async
              start server in async mode (for internal usage only, don't read configuration)

Voilà, j'ai fini par trouver un cas correspondant au tiens et c'est bien ce que je pensais, il manquait très certainement un chemin vers un fichier de log, pour l'une des règles.
Cela te montre également comment passer en mode verbose avec -v -v
https://forum.issabel.org/d/3374-fail2ban-no-inicia

Mon tutoriel pour installer fail2ban :
https://wiki.visionduweb.fr/index.php?t … r_Fail2ban

Dernière modification par Zer00CooL (20-02-2020 01:41:11)