Dist Upgrade Debian 9 - Fail2ban crash

Minus · Juin 13, 2018, 9:43am

Bonjour

Je me suis enfin décidé à upgrader mes serveurs Debian 8.10 vers 9.4

Tout ce passe trés bien jusqu’à ce que j’arrive sur un serveur qui utilise fail2ban

Voilà les erreurs que j’ai:

/etc/fail2ban# journalctl -xe
juin 13 11:35:19 intranet systemd[1]: apt-daily-upgrade.timer: Adding 23min 25.331619s random time.
juin 13 11:35:24 intranet systemd[1]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.
juin 13 11:35:24 intranet systemd[1]: apt-daily.timer: Adding 10h 13min 12.882066s random time.
juin 13 11:35:24 intranet systemd[1]: apt-daily-upgrade.timer: Adding 40min 18.778462s random time.
juin 13 11:35:24 intranet systemd[2616]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.
juin 13 11:35:29 intranet systemd[2616]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.
juin 13 11:35:29 intranet systemd[1]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.
juin 13 11:35:29 intranet systemd[1]: apt-daily.timer: Adding 7h 45min 25.695957s random time.
juin 13 11:35:29 intranet systemd[1]: apt-daily-upgrade.timer: Adding 3min 56.023429s random time.
juin 13 11:35:34 intranet systemd[1]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.
juin 13 11:35:34 intranet systemd[1]: apt-daily.timer: Adding 11h 17min 58.265870s random time.
juin 13 11:35:34 intranet systemd[1]: apt-daily-upgrade.timer: Adding 51min 49.745142s random time.
juin 13 11:35:34 intranet systemd[2616]: Time has been changed
-- Subject: Changement d'heure
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- L'horloge système a été modifiée et positionnée à REALTIME microsecondes
-- après le 1er janvier 1970.

et

/etc/fail2ban# systemctl status fail2ban.service
? fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2018-06-13 11:34:57 CEST; 4s ago
     Docs: man:fail2ban(1)
  Process: 2721 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=255)

juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 13 11:34:57 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 13 11:34:57 intranet systemd[1]: Stopped Fail2Ban Service.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Start request repeated too quickly.
juin 13 11:34:57 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 13 11:34:57 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.

J’ai désinstallé et reinstallé fail2ban, sans supprimer le fichier de conf jail.conf, et j’ai toujours le même soucis et même message d’erreur.

Avez vous une solution?

Par avance merci

Clochette · Juin 13, 2018, 1:32pm

Peux-tu nous fournir le résultat d’un journalctl -u fail2ban.service ? après une tentative de démarrage infructueuse.

grandtoubab · Juin 13, 2018, 3:16pm

Salut
fail2ban.service: Start request repeated too quickly
Systemd le banni car il redémarre trop souvent en peu de temps
Si tu ne trouves pas d’explications tu peux modifier le service pour qu’il tente de redémarrer sans limitation de tentatives par systemd
il faut ajouter

StartLimitBurst=0

dans la partie [Service]

Dans ton cas dans /lib/systemd/system/fail2ban.service

ça permets parfois d’avoir la possibilité d’attendre l’événement qui empêche de démarrer.

https://www.freedesktop.org/software/systemd/man/systemd.unit.html

jhfra · Juin 14, 2018, 7:56am

Je suggère une sauvegarde de ta conf fail2ban (les filters.d si tu as des trucs à ta sauce) et une sauvegarde du jail.local (qui est celui qui est lu par fail2ban et non le jail.con). Une fois cela fait, un petit apt-get remove --purge fail2ban et tu réinstalles le paquet pour voir ce que ça dit.
si ça marche, tu remets tes filtres perso (si il y en a) et tu recharges tes règles une par une à coup de service fail2ban restart.

Minus · Juin 14, 2018, 9:52am

Merci pour vos interventions

donc voici le retour de journalctl -u fail2ban.service

juin 14 09:26:45 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:26:46 intranet fail2ban-client[424]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:26:46 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:26:46 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:46 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:46 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:26:47 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:26:47 intranet fail2ban-client[720]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:26:47 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:26:47 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:26:47 intranet fail2ban-client[732]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:26:47 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:26:47 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:26:47 intranet fail2ban-client[745]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:26:47 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:47 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:26:48 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:26:48 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:26:48 intranet fail2ban-client[764]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:26:48 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:26:48 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Start request repeated too quickly.
juin 14 09:26:48 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:26:48 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:08 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:28:08 intranet fail2ban-client[863]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:28:08 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:28:08 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:28:08 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:28:08 intranet fail2ban-client[883]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:28:08 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:28:08 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:28:08 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:28:08 intranet fail2ban-client[885]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:28:08 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:08 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:28:09 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:28:09 intranet fail2ban-client[887]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:28:09 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:28:09 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:28:09 intranet fail2ban-client[889]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 156]: option 'port' in section 'pam-generic' already exists
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:28:09 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:28:09 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Start request repeated too quickly.
juin 14 09:28:09 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:28:09 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:15 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:32:15 intranet fail2ban-client[944]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:15 intranet fail2ban-client[944]: WARNING No filter set for jail sshd
juin 14 09:32:15 intranet fail2ban-client[944]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:15 intranet fail2ban-client[944]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid option name. Raw value: '%(action_mwl)s'
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:32:15 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:32:15 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:32:15 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:32:15 intranet fail2ban-client[964]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:15 intranet fail2ban-client[964]: WARNING No filter set for jail sshd
juin 14 09:32:15 intranet fail2ban-client[964]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:15 intranet fail2ban-client[964]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid option name. Raw value: '%(action_mwl)s'
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:32:15 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:15 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:32:16 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:32:16 intranet fail2ban-client[967]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[967]: WARNING No filter set for jail sshd
juin 14 09:32:16 intranet fail2ban-client[967]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[967]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid option name. Raw value: '%(action_mwl)s'
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:32:16 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:32:16 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:32:16 intranet fail2ban-client[969]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[969]: WARNING No filter set for jail sshd
juin 14 09:32:16 intranet fail2ban-client[969]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[969]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid option name. Raw value: '%(action_mwl)s'
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:32:16 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:32:16 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: Starting Fail2Ban Service...
juin 14 09:32:16 intranet fail2ban-client[971]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[971]: WARNING No filter set for jail sshd
juin 14 09:32:16 intranet fail2ban-client[971]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
juin 14 09:32:16 intranet fail2ban-client[971]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid option name. Raw value: '%(action_mwl)s'
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Control process exited, code=exited status=255
juin 14 09:32:16 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
juin 14 09:32:16 intranet systemd[1]: Stopped Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Start request repeated too quickly.
juin 14 09:32:16 intranet systemd[1]: Failed to start Fail2Ban Service.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Unit entered failed state.
juin 14 09:32:16 intranet systemd[1]: fail2ban.service: Failed with result 'exit-code'.

J’ai donc édité /etc/fail2ban/jail.d/defaults-debian.conf et modifié comme suit:

[sshd]
port = port que j'utilise pour le ssh
maxentry = 3

puis suis allé au niveau de la ligne 156 de jail.conf (qui concerne un port) et l’ai aussi commenté.

j’ai egalement modifié mon fichier de conf comme indiqué dans ce post allemand:

https://translate.google.fr/translate?hl=fr&sl=de&u=https://www.taste-of-it.de/debian-upgrade-von-jessie-zu-stretch-fail2ban-error/&prev=search

Le redemarrage de fail2ban c’est alors bien passé et apache et ssh sont bien sous la protection de fail2ban.

voila le retour de iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-apache  tcp  --  anywhere             anywhere             multiport dports http,https
f2b-apache-overflows  tcp  --  anywhere             anywhere             multiport dports http,https
f2b-ssh    tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-apache (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain f2b-apache-overflows (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain f2b-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Donc il y a vraiment pas mal de chose qui ont changé entre les deux versions de fail2ban

Par contre au niveau du port ssh, comme il n’est pas sur le 22, j’espere que fail2ban le protege bien quand même

Minus · Juin 14, 2018, 2:26pm

Bon j’ai refais une installation complète de fail2ban avec remove --purge pour qu’il ne reste aucune trace de l’ancienne installation et c’est nettement mieux, par contre c’est plus long à faire car il faut se retaper à la mano tout le fichier jail.local