logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 17-06-2024 14:57:51

Runner
Membre
Lieu : Maché
Inscription : 18-10-2017

[Fail2ban] - Aide configuration attaque brut force

Bonjour,

J'ai un serveur qui est actuellement attaqué par brut force.
J'ai donc installé fail2ban afin de limiter cette attaque mais je ne sais pas si j'ai la bonne configuration.

Dans fail2ban j'ai juste modifié la durée de bannissement.

Lorsque je tape la commande

fail2ban-client status ssh



J'obtiens bien une liste d'adresse ip de bloqué à savoir

Status for the jail: ssh
|- filter
|  |- File list:  /var/log/auth.log
|  |- Currently failed: 13
|  `- Total failed: 7107
`- action
   |- Currently banned: 14
   |  `- IP list: 117.50.127.207 149.129.95.70 8.218.118.192 47.243.104.65 47.76.118.228 120.25.238.67 47.243.126.140 219.153.56.131 8.210.86.169 8.130.137.183 47.238.188.244 47.242.33.127 8.217.185.82 8.137.126.60
   `- Total banned: 14



Or si je regarde en continu les log de auth.log je constate toujours les tentative de connexion de ces mêmes adresses ip

Jun 17 16:33:43 serveur sshd[5785]: Received disconnect from 219.153.56.131: 11: Bye Bye [preauth]
Jun 17 16:33:43 serveur sshd[5807]: Failed password for root from 149.129.95.70 port 38470 ssh2
Jun 17 16:33:43 serveur sshd[5807]: Received disconnect from 149.129.95.70: 11: Bye Bye [preauth]
Jun 17 16:33:44 serveur sshd[5803]: Failed password for root from 47.243.126.140 port 48228 ssh2
Jun 17 16:33:45 serveur sshd[5815]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.210.86.169  user=root
Jun 17 16:33:45 serveur sshd[5813]: Failed password for root from 8.130.137.183 port 48706 ssh2
Jun 17 16:33:45 serveur sshd[5803]: Received disconnect from 47.243.126.140: 11: Bye Bye [preauth]
Jun 17 16:33:45 serveur sshd[5813]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:46 serveur sshd[5819]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.217.185.82  user=root
Jun 17 16:33:46 serveur sshd[5809]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=120.25.238.67  user=root
Jun 17 16:33:47 serveur sshd[5817]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.76.118.228  user=root
Jun 17 16:33:47 serveur sshd[5815]: Failed password for root from 8.210.86.169 port 39140 ssh2
Jun 17 16:33:47 serveur sshd[5825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:47 serveur sshd[5815]: Received disconnect from 8.210.86.169: 11: Bye Bye [preauth]
Jun 17 16:33:48 serveur sshd[5819]: Failed password for root from 8.217.185.82 port 55240 ssh2
Jun 17 16:33:48 serveur sshd[5819]: Received disconnect from 8.217.185.82: 11: Bye Bye [preauth]
Jun 17 16:33:48 serveur sshd[5809]: Failed password for root from 120.25.238.67 port 53006 ssh2
Jun 17 16:33:48 serveur sshd[5823]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.243.126.140  user=root
Jun 17 16:33:49 serveur sshd[5817]: Failed password for root from 47.76.118.228 port 38676 ssh2
Jun 17 16:33:49 serveur sshd[5825]: Failed password for root from 8.130.137.183 port 51110 ssh2
Jun 17 16:33:49 serveur sshd[5811]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.218.118.192  user=root
Jun 17 16:33:49 serveur sshd[5825]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:49 serveur sshd[5829]: Invalid user deploy from 219.153.56.131
Jun 17 16:33:49 serveur sshd[5829]: input_userauth_request: invalid user deploy [preauth]
Jun 17 16:33:49 serveur sshd[5829]: pam_unix(sshd:auth): check pass; user unknown
Jun 17 16:33:49 serveur sshd[5829]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.153.56.131
Jun 17 16:33:49 serveur sshd[5834]: Received disconnect from 8.210.86.169: 11: Bye Bye [preauth]
Jun 17 16:33:50 serveur sshd[5822]: Invalid user dncaf from 47.242.33.127
Jun 17 16:33:50 serveur sshd[5822]: input_userauth_request: invalid user dncaf [preauth]
Jun 17 16:33:50 serveur sshd[5823]: Failed password for root from 47.243.126.140 port 56858 ssh2
Jun 17 16:33:50 serveur sshd[5809]: Received disconnect from 120.25.238.67: 11: Bye Bye [preauth]
Jun 17 16:33:50 serveur sshd[5823]: Received disconnect from 47.243.126.140: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5817]: Received disconnect from 47.76.118.228: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5822]: Received disconnect from 47.242.33.127: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5821]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.243.104.65  user=root
Jun 17 16:33:51 serveur sshd[5836]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:51 serveur sshd[5811]: Failed password for root from 8.218.118.192 port 49204 ssh2
Jun 17 16:33:51 serveur sshd[5829]: Failed password for invalid user deploy from 219.153.56.131 port 39011 ssh2
Jun 17 16:33:52 serveur sshd[5829]: Received disconnect from 219.153.56.131: 11: Bye Bye [preauth]
Jun 17 16:33:52 serveur sshd[5811]: Received disconnect from 8.218.118.192: 11: Bye Bye [preauth]
Jun 17 16:33:53 serveur sshd[5821]: Failed password for root from 47.243.104.65 port 48388 ssh2
Jun 17 16:33:53 serveur sshd[5836]: Failed password for root from 8.130.137.183 port 53368 ssh2
Jun 17 16:33:53 serveur sshd[5821]: Received disconnect from 47.243.104.65: 11: Bye Bye [preauth]
Jun 17 16:33:53 serveur sshd[5836]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:54 serveur sshd[5838]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.238.188.244  user=root
Jun 17 16:33:54 serveur sshd[5832]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=149.129.95.70  user=root
Jun 17 16:33:55 serveur sshd[5844]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.217.185.82  user=root
Jun 17 16:33:56 serveur sshd[5850]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:56 serveur sshd[5838]: Failed password for root from 47.238.188.244 port 45768 ssh2
Jun 17 16:33:56 serveur sshd[5838]: Received disconnect from 47.238.188.244: 11: Bye Bye [preauth]
Jun 17 16:33:56 serveur sshd[5832]: Failed password for root from 149.129.95.70 port 55006 ssh2
Jun 17 16:33:57 serveur sshd[5844]: Failed password for root from 8.217.185.82 port 44506 ssh2



Est-ce que cela vient du fait que dans les logs il s'agit de sshd ? A noter également que mon port d'écoute SSH n'est pas le port classique

Pouvez-vous m'aider à configurer fail2ban de la meilleur des façons ?

Merci

Hors ligne

#2 17-06-2024 15:24:57

raleur
Membre
Inscription : 03-10-2014

Re : [Fail2ban] - Aide configuration attaque brut force

Runner a écrit :

A noter également que mon port d'écoute SSH n'est pas le port classique


Apparemment ce n'est pas très efficace. As-tu déclaré le port dans fail2ban ? Sinon je soupçonne que fail2ban ne bloque ces adresses IP que sur le port standard 22.


Il vaut mieux montrer que raconter.

Hors ligne

#3 17-06-2024 15:53:18

Runner
Membre
Lieu : Maché
Inscription : 18-10-2017

Re : [Fail2ban] - Aide configuration attaque brut force

Si je ne me trompe pas après avoir épluché les docs de fail2ban celui-ci regarde les logs pour un protocole quelque soit le port.

Hors ligne

#4 17-06-2024 15:58:52

raleur
Membre
Inscription : 03-10-2014

Re : [Fail2ban] - Aide configuration attaque brut force

Certes, mais pour générer les règles de filtrage il a besoin du port, non ? A moins qu'il bannisse les adresses IP pour tous les ports ?
Bref, tu peux vérifier les règles en place avec "iptables-save" ou "nft list ruleset" selon l'outil utilisé par fail2ban.

Dernière modification par raleur (17-06-2024 16:00:13)


Il vaut mieux montrer que raconter.

Hors ligne

#5 17-06-2024 16:04:56

Runner
Membre
Lieu : Maché
Inscription : 18-10-2017

Re : [Fail2ban] - Aide configuration attaque brut force

La commande iptables me donne cela

Chain INPUT (policy ACCEPT 161K packets, 17M bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 fail2ban-ssh  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 144K packets, 32M bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 REJECT     all  --  *      *       8.137.126.60         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       8.217.185.82         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       47.242.33.127        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       47.238.188.244       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       8.130.137.183        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       8.210.86.169         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       219.153.56.131       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       47.243.126.140       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       120.25.238.67        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       47.76.118.228        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       47.243.104.65        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       8.218.118.192        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       149.129.95.70        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       117.50.127.207       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0          
 

Hors ligne

#6 17-06-2024 16:38:34

raleur
Membre
Inscription : 03-10-2014

Re : [Fail2ban] - Aide configuration attaque brut force

La sortie d'iptables -L est illisible. J'ai indiqué la bonne commande.

Il vaut mieux montrer que raconter.

Hors ligne

#7 17-06-2024 16:43:03

Runner
Membre
Lieu : Maché
Inscription : 18-10-2017

Re : [Fail2ban] - Aide configuration attaque brut force

Oups désolé

Voici le retour de

iptables-save



# Generated by iptables-save v1.4.21 on Mon Jun 17 18:31:55 2024
*filter
:INPUT ACCEPT [30781:3474061]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28215:4934005]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -s 47.243.76.19/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 124.156.224.35/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 194.113.236.217/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 103.28.52.6/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 39.100.88.114/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 103.242.117.17/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 143.244.165.222/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 181.113.21.163/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 185.17.3.32/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 182.16.245.79/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 87.255.193.50/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 43.134.232.46/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 180.191.32.161/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 43.134.12.204/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 49.51.194.240/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 164.132.51.188/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 68.183.10.68/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 8.137.126.60/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 8.217.185.82/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 47.242.33.127/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 47.238.188.244/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 8.130.137.183/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 8.210.86.169/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 219.153.56.131/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 47.243.126.140/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 120.25.238.67/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 47.76.118.228/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 47.243.104.65/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 8.218.118.192/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 149.129.95.70/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 117.50.127.207/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Mon Jun 17 18:31:55 2024

Hors ligne

#8 17-06-2024 16:45:40

raleur
Membre
Inscription : 03-10-2014

Re : [Fail2ban] - Aide configuration attaque brut force

Le filtrage des adresses IP bannies pour SSH ne s'applique donc qu'au port 22.

Il vaut mieux montrer que raconter.

Hors ligne

#9 17-06-2024 16:50:23

Runner
Membre
Lieu : Maché
Inscription : 18-10-2017

Re : [Fail2ban] - Aide configuration attaque brut force

Ok mais dans le cas d'un brut force cela ne se concentre pas uniquement sur le port 22 donc quel stratégie appliquer ?

Hors ligne

#10 17-06-2024 17:03:03

raleur
Membre
Inscription : 03-10-2014

Re : [Fail2ban] - Aide configuration attaque brut force

Je l'ai déjà écrit : configurer fail2ban pour appliquer le bannissement de SSH au port réellement utilisé par sshd.

Il vaut mieux montrer que raconter.

Hors ligne

#11 17-06-2024 20:15:43

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-21-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : [Fail2ban] - Aide configuration attaque brut force

@Runner : tu peux par exemple trouver de l’aide ici https://doc.ubuntu-fr.org/fail2ban pour configurer le port à bloquer.

Dernière modification par Philou92 (17-06-2024 20:16:53)


Tousse antique Ovide !

Hors ligne

Pied de page des forums