Encore un problème de bannissement "Fail2ban"

ricardo · Février 21, 2016, 7:40pm

voici :

[code]# Fail2Ban configuration file

Author: Cyril Jaquier

$Revision: 471 $

[Definition]

Option: failregex

Notes.: regex to match the password failure messages in the logfile. The

host must be matched by a group named “host”. The tag “” can

be used for standard IP/hostname matching.

Values: TEXT

[client x.x.x.x] File does not exist: /home/www/admin/admin,

failregex = [[]client []] File does not exist: .*admin|PMA|mysql

Option: ignoreregex

Notes.: regex to ignore. If this regex matches, the line is ignored.

Values: TEXT

ignoreregex =
[/code]

PascalHambourg · Février 21, 2016, 7:41pm

Comme déjà dit je connais très mal fail2ban. Si j’était à ta place je rechercherais dans les logs d’apache les messages qui déclenchent la règle fail2ban en question, et j’essaierai d’en déduire la cause et l’origine de ces messages. Eventuellement si la cause est anodine j’envisagerais de modifier la règle pour qu’elle ne soit pas déclenchée par ces messages spécifiques.

Kristy · Février 21, 2016, 7:41pm

Tout est dans le message du dessus en faites,
T’as règle c’est ca : [quote]failregex = [[]client []] File does not exist: .*admin|PMA|mysql[/quote]
Donc en gros , si une ip quelconque essaye d’accéder à tondomaine.tld/admin ou encore tonip/admin et que le chemin n’existe pas alors il va respecté la regex de ton apache-admin.conf.

Ensuite dans ton fichier “jail.conf” tu dois avoir une section style :

[apache-admin] enable = true maxtime = X

Donc par exemple si t’etais fatigué et que t’as esssayé d’accéder X fois à tondomaine.tld/piwigo/adminpanel/ tu as manger des 404 (file does not exist) et du coup tu t’es fait ban par fail2ban. Sincèrement je vois mal le rapport entre la règle de f2b que tu donnes et l’utilisation d’un navigateur web particulier. Clairement si ca te fait vraiment ca (et au vu de tes messages ca à l’air d’être le cas , j’envisage clairement cette possibilité même si jtrouve ca enorme T_T), c’est quoi ce navigateur web sérieux ? XD

ricardo · Février 21, 2016, 7:41pm

[quote=“Kristy”]Tout est dans le message du dessus en faites,
T’as règle c’est ca : [quote]failregex = [[]client []] File does not exist: .*admin|PMA|mysql[/quote]
Donc en gros , si une ip quelconque essaye d’accéder à tondomaine.tld/admin ou encore tonip/admin et que le chemin n’existe pas alors il va respecté la regex de ton apache-admin.conf.

Ensuite dans ton fichier “jail.conf” tu dois avoir une section style :

[apache-admin] enable = true maxtime = X

Donc par exemple si t’etais fatigué et que t’as esssayé d’accéder X fois à tondomaine.tld/piwigo/adminpanel/ tu as manger des 404 (file does not exist) et du coup tu t’es fait ban par fail2ban. Sincèrement je vois mal le rapport entre la règle de f2b que tu donnes et l’utilisation d’un navigateur web particulier. Clairement si ca te fait vraiment ca (et au vu de tes messages ca à l’air d’être le cas , j’envisage clairement cette possibilité même si jtrouve ca enorme T_T), c’est quoi ce navigateur web sérieux ? XD[/quote]
Konqueror (KDE) et IceXeasel (Firefox)