fail2ban : soucis dans le script de base
Bonjour, Je rencontre un problème avec fail2ban. Lors de tentatives d'accès illégales en ssh, les logs de fail2ban m'indique qu'il bannit bien l'adresse concernée : 2007-08-24 14:51:41,163 fail2ban.actions.action: DEBUG iptables -L INPUT | grep -q fail2ban-ssh returned successfully 2007-08-24 14:51:41,164 fail2ban.actions.action: DEBUG iptables -I fail2ban-ssh 1 -s 217.22.55.50 -j DROP 2007-08-24 14:51:41,172 fail2ban.actions.action: DEBUG iptables -I fail2ban-ssh 1 -s 217.22.55.50 -j DROP returned successfully Mais lorsque je vérifie avec iptables -L -n, j'ai ceci : [EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:22 Or cette règle est initialisée au démarrage de fail2ban (via init.d/fail2ban). Je suppose qu'il faut en fait modifier la règle existante plutôt que de tenter d'en ajouter une nouvelle ? Quelqu'un a-t-il eu le même soucis ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Re: fail2ban : soucis dans le script de base
Salut, Michel Grentzinger a écrit : Je rencontre un problème avec fail2ban. Lors de tentatives d'accès illégales en ssh, les logs de fail2ban m'indique qu'il bannit bien l'adresse concernée : 2007-08-24 14:51:41,163 fail2ban.actions.action: DEBUG iptables -L INPUT | grep -q fail2ban-ssh returned successfully 2007-08-24 14:51:41,164 fail2ban.actions.action: DEBUG iptables -I fail2ban-ssh 1 -s 217.22.55.50 -j DROP 2007-08-24 14:51:41,172 fail2ban.actions.action: DEBUG iptables -I fail2ban-ssh 1 -s 217.22.55.50 -j DROP returned successfully Mais lorsque je vérifie avec iptables -L -n, j'ai ceci : [EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:22 AMA il faudrait plutôt vérifier dans la chaîne utilisateur fail2ban-ssh, parce que d'après ce que je lis plus haut c'est là que les règles sont ajoutées par fail2ban. # iptables -nL fail2ban-ssh -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban : soucis dans le script de base
Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit : Mais lorsque je vérifie avec iptables -L -n, j'ai ceci : [EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:22 AMA il faudrait plutôt vérifier dans la chaîne utilisateur fail2ban-ssh, parce que d'après ce que je lis plus haut c'est là que les règles sont ajoutées par fail2ban. # iptables -nL fail2ban-ssh Oui, c'était une partie du problème ! Mais le bannissage ne fonctionnait pas non plus ! En fait, c'est lié au bogue n°407561 ( http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=407561) une vérification était faite avec la résolution inverse ce qui prennait beaucoup de temps car j'ai un script iptables un peu long. Pour ceux que ça interresse, il faut modifier : [EMAIL PROTECTED]:~ # diff -u /etc/fail2ban/action.d/iptables.conf* --- /etc/fail2ban/action.d/iptables.conf2007-08-24 15:06:27.0 +0200 +++ /etc/fail2ban/action.d/iptables.conf-FIRST 2007-08-24 15:05:23.0 +0200 @@ -27,7 +27,7 @@ # Notes.: command executed once before each fwban command # Values: CMD # -actioncheck = iptables -L INPUT -n | grep -q fail2ban-name +actioncheck = iptables -L INPUT | grep -q fail2ban-name Et après tout fonctionne ! Ce bogue ne mériterait-il pas une mise à jour dans stable à la prochaine révision ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Re: fail2ban : soucis dans le script de base
Michel Grentzinger wrote: Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit : Mais lorsque je vérifie avec iptables -L -n, j'ai ceci : [EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp dpt:22 AMA il faudrait plutôt vérifier dans la chaîne utilisateur fail2ban-ssh, parce que d'après ce que je lis plus haut c'est là que les règles sont ajoutées par fail2ban. # iptables -nL fail2ban-ssh Oui, c'était une partie du problème ! Mais le bannissage ne fonctionnait pas non plus ! En fait, c'est lié au bogue n°407561 ( http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=407561) une vérification était faite avec la résolution inverse ce qui prennait beaucoup de temps car j'ai un script iptables un peu long. Pour ceux que ça interresse, il faut modifier : [EMAIL PROTECTED]:~ # diff -u /etc/fail2ban/action.d/iptables.conf* --- /etc/fail2ban/action.d/iptables.conf2007-08-24 15:06:27.0 +0200 +++ /etc/fail2ban/action.d/iptables.conf-FIRST 2007-08-24 15:05:23.0 +0200 @@ -27,7 +27,7 @@ # Notes.: command executed once before each fwban command # Values: CMD # -actioncheck = iptables -L INPUT -n | grep -q fail2ban-name +actioncheck = iptables -L INPUT | grep -q fail2ban-name Et après tout fonctionne ! Ce bogue ne mériterait-il pas une mise à jour dans stable à la prochaine révision ? euh. pourquoi faire des requetes dns? Au fait. il faut etre sur de lancer une version recente de fail2ban. Il avait un enorme bug: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-6302 http://www.mail-archive.com/[EMAIL PROTECTED]/msg01806.html pour vérifier, il suffit de tenter un login en tant que taratata from 1.2.3.4 et voir si 1.2.3.4 ne se retrouve pas bloqué. ça donne pas beaucoup confiance tout ça... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
