Re: fail2ban actif ?
Le poulpe qui bloppe ! a écrit : Pour voir ce qui est blacklisté ou non, (y'a surement mieu) : iptables -nvL Comme ca tu as le statut actuel de ton iptables et ses regles actives. Merci pour vos réponses, fail2ban semble bien fonctionner ;-) bye -- Shams Fantar Support Debian : http://support-debian.homelinux.org Blog de Scurz : http://sfantar.homelinux.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban actif ?
Le 22/12/06, Shams Fantar <[EMAIL PROTECTED]> a écrit : Thomas Beugin a écrit : > Ben c'est normal... > > Il est bien obligé de voir des tentative se faire pour pouvoir les > blacklister... > > Si il ya pas de tentive il va pas blacklister du vents... > > si ta reglé fail2ban pour bannir a 3 tentative > > tu aura 3 tentative comme ca : >> Dec 22 16:37:26 * sshd[32659]: Invalid user testing from >> xxx.xx.xxx.xx >> Dec 22 16:37:29 * sshd[32661]: Invalid user tester from >> xxx.xx.xxx.xx >> Dec 22 16:37:32 * sshd[32663]: Invalid user academy from >> xxx.xx.xxx.xx > > apres il sera banni pour la periode que tu as regle... > > Dec 22 16:18:41 * sshd[32609]: Invalid user a from 211.23.152.188 Dec 22 16:18:45 * sshd[32611]: Invalid user b from 211.23.152.188 Dec 22 16:18:56 * sshd[32613]: Invalid user c from 211.23.152.188 Dec 22 16:25:03 * sshd[32636]: Invalid user slim from 211.23.152.188 .mais c'est vrai qu'il y a beaucoup moins de lignes qu'avant avec fail2ban Où peut-on voir les ips bannies ? bye -- Shams Fantar Support Debian : http://support-debian.homelinux.org Blog de Scurz : http://sfantar.homelinux.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] Pour voir ce qui est blacklisté ou non, (y'a surement mieu) : iptables -nvL Comme ca tu as le statut actuel de ton iptables et ses regles actives.
Re: fail2ban actif ?
Thomas Beugin a écrit : Ben c'est normal... Il est bien obligé de voir des tentative se faire pour pouvoir les blacklister... Si il ya pas de tentive il va pas blacklister du vents... si ta reglé fail2ban pour bannir a 3 tentative tu aura 3 tentative comme ca : Dec 22 16:37:26 * sshd[32659]: Invalid user testing from xxx.xx.xxx.xx Dec 22 16:37:29 * sshd[32661]: Invalid user tester from xxx.xx.xxx.xx Dec 22 16:37:32 * sshd[32663]: Invalid user academy from xxx.xx.xxx.xx apres il sera banni pour la periode que tu as regle... Dec 22 16:18:41 * sshd[32609]: Invalid user a from 211.23.152.188 Dec 22 16:18:45 * sshd[32611]: Invalid user b from 211.23.152.188 Dec 22 16:18:56 * sshd[32613]: Invalid user c from 211.23.152.188 Dec 22 16:25:03 * sshd[32636]: Invalid user slim from 211.23.152.188 .mais c'est vrai qu'il y a beaucoup moins de lignes qu'avant avec fail2ban Où peut-on voir les ips bannies ? bye -- Shams Fantar Support Debian : http://support-debian.homelinux.org Blog de Scurz : http://sfantar.homelinux.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban actif ?
patrick heraud a écrit : Je crois qu'il y a une petite confusion là: - je dirais plutôt que la traduction serait aproximativement: "statut du moniteur de surveillance des échecs d'authentification: fail2ban fonctionne" A mon sens, "authentication failure" signifie "échecs d'authentification" et est lié à "monitor" que je traduis par moniteur Si quelqu'un a mieux... Peut-être mais pourquoi vois-je encore des logs du genre : Dec 22 16:37:20 * sshd[32655]: Invalid user admin from xxx.xx.xxx.xx Dec 22 16:37:23 * sshd[32657]: Invalid user test from xxx.xx.xxx.xx Dec 22 16:37:26 * sshd[32659]: Invalid user testing from xxx.xx.xxx.xx Dec 22 16:37:29 * sshd[32661]: Invalid user tester from xxx.xx.xxx.xx Dec 22 16:37:32 * sshd[32663]: Invalid user academy from xxx.xx.xxx.xx Car à part les bannir à la main, fail2ban ne fait rien là !? -- Shams Fantar Support Debian : http://support-debian.homelinux.org Blog de Scurz : http://sfantar.homelinux.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban actif ?
Le jeudi 21 décembre 2006 22:38, patrick heraud a écrit : > On Thu, Dec 21, 2006 at 09:45:40PM +0100, Shams Fantar wrote: > > Après un /etc/init.d/fail2ban restart, j'ai fait un /etc/init.d/fail2ban > > status, en voici le résultat : > > > > Status of authentication failure monitor: fail2ban is running > > > > Je peux donc considérer que fail2ban n'est pas actif à cause du "failure" > > ! > > Je crois qu'il y a une petite confusion là: > - je dirais plutôt que la traduction serait aproximativement: > "statut du moniteur de surveillance des échecs d'authentification: fail2ban > fonctionne" A mon sens, "authentication failure" signifie "échecs > d'authentification" et est lié à "monitor" que je traduis par moniteur je confirme > Si quelqu'un a mieux... > > J'ai fait un iptables -L pour voir si la règle iptables qu'utilise > > fail2ban est bien prise en compte : > > > > target prot opt source destination > > fail2ban-ssh tcp -- anywhere anywheretcp > > dpt:ssh > > C'est bien la preuve que ça fonctionne. exact. Très belle journée -- s°
Re: fail2ban actif ?
On Thu, Dec 21, 2006 at 09:45:40PM +0100, Shams Fantar wrote: > > Après un /etc/init.d/fail2ban restart, j'ai fait un /etc/init.d/fail2ban > status, en voici le résultat : > > Status of authentication failure monitor: fail2ban is running > > Je peux donc considérer que fail2ban n'est pas actif à cause du "failure" ! > Je crois qu'il y a une petite confusion là: - je dirais plutôt que la traduction serait aproximativement: "statut du moniteur de surveillance des échecs d'authentification: fail2ban fonctionne" A mon sens, "authentication failure" signifie "échecs d'authentification" et est lié à "monitor" que je traduis par moniteur Si quelqu'un a mieux... > J'ai fait un iptables -L pour voir si la règle iptables qu'utilise > fail2ban est bien prise en compte : > > target prot opt source destination > fail2ban-ssh tcp -- anywhere anywheretcp dpt:ssh > C'est bien la preuve que ça fonctionne. > Auriez-vous une idée ? > > Merci. > > -- > Shams Fantar > Support Debian : http://support-debian.homelinux.org > Blog de Scurz : http://sfantar.homelinux.org > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et > "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > --- > Orange vous informe que cet e-mail a ete controle par l'anti-virus mail. > Aucun virus connu a ce jour par nos services n'a ete detecte. > > > -- --- Ma clé GPG est disponible sur http://www.keyserver.net (0xD99B1A80) 1587 B350 1371 C812 39B6 24C1 1BCA 4435 D99B 1A80 --- signature.asc Description: Digital signature
fail2ban actif ?
Bonsoir, Je viens d'installer fail2ban pour pouvoir bannir les ips qui se connectent plus de x fois dans un laps de temps déterminé. Voir le fichier de configuration (/etc/fail2ban/fail2ban.conf) : [SSH] # Pour activer la protection. enabled = true logfile = /var/log/auth.log [DEFAULT] maxfailures = 3 bantime = 2880 findtime = 180s Après un /etc/init.d/fail2ban restart, j'ai fait un /etc/init.d/fail2ban status, en voici le résultat : Status of authentication failure monitor: fail2ban is running Je peux donc considérer que fail2ban n'est pas actif à cause du "failure" ! J'ai fait un iptables -L pour voir si la règle iptables qu'utilise fail2ban est bien prise en compte : target prot opt source destination fail2ban-ssh tcp -- anywhere anywheretcp dpt:ssh Auriez-vous une idée ? Merci. -- Shams Fantar Support Debian : http://support-debian.homelinux.org Blog de Scurz : http://sfantar.homelinux.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
