Explication fail2ban

Support Debian
#1

Bonjour,
Suite à différents sujets, je regarde les logs ce matin :wink:
Voila ce que je trouve sur auth.log :

Mar 17 07:52:30 mx sshd[18181]: Did not receive identification string from 95.81.203.81
Mar 17 07:52:31 mx sshd[18182]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:31 mx sshd[18182]: Failed password for root from 95.81.203.81 port 3997 ssh2
Mar 17 07:52:32 mx sshd[18186]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:32 mx sshd[18186]: Failed password for root from 95.81.203.81 port 4023 ssh2
Mar 17 07:52:33 mx sshd[18190]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:33 mx sshd[18190]: Failed password for root from 95.81.203.81 port 4041 ssh2
Mar 17 07:52:34 mx sshd[18194]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:34 mx sshd[18194]: Failed password for root from 95.81.203.81 port 4064 ssh2
Mar 17 07:52:35 mx sshd[18198]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:35 mx sshd[18198]: Failed password for root from 95.81.203.81 port 4086 ssh2
Mar 17 07:52:36 mx sshd[18202]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:36 mx sshd[18202]: Failed password for root from 95.81.203.81 port 4115 ssh2
Mar 17 07:52:37 mx sshd[18206]: reverse mapping checking getaddrinfo for 081.203.81.95.chtts.ru [95.81.203.81] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 07:52:37 mx sshd[18206]: Failed password for root from 95.81.203.81 port 4138 ssh2

Clairement, il y a un test de connexion en ssh à mon serveur depuis un ordinateur russe, je vais voir dans fail2ban.log, et là :

2010-03-17 07:52:37,342 fail2ban.actions: WARNING [ssh] Ban 95.81.203.81
2010-03-17 08:02:37,358 fail2ban.actions: WARNING [ssh] Unban 95.81.203.81

Dois-je en conclure que fail2ban s’est rendu compte que le serveur russe était un peut trop insistant, donc l’a banni une première fois, puis dix minutes après la dernière tentative, l’a de nouveau autorisé ? Si c’est le cas ne pourrait-on pas changer cette valeur à 24 Heures ?

#2

Salut,
Dans /etc/fail2ban/jail.conf

bantime = 600

#3

600 = 10 minutes, ok !
Tu as changé cette valeur chez toi ?

#4

Sinon, 10 minutes c’est suffisant, pour le cas ou tu fasses par exemple 3 essais de mdp avec un clavier qwerty, pour arrèter les attaques, tout en ne te bloquant que 10 minutes si tu fais une erreur.
Par ailleurs, même si l’attaquant était insistant (je n’ai jamais vu de tentative revenir de la même source aprés banissement), avec 3 tests toutes les 10 minutes, peu de risque de cassage en brute-force, et tu es à l’abri d’attaques DOS

#5

[quote=“debianhadic”]600 = 10 minutes, ok !
Tu as changé cette valeur chez toi ?[/quote]

bantime = 1000000 :mrgreen:
Non je n’ai pas changé car je n’ai jamais eu d’attaque pour l’instant… Je ne suis pas intéressant moi :wink:

#6

J’y ai pensé, que ça pouvait venir de moi, mais je n’ai pas l’occasion très souvent de me connecter sur mon serveur ailleurs que chez moi, et puis je n’ai pas d’IP fixe, une simple réinitialisation de la box et mon IP change.
La plupart de ces attaques sont-elles lancées depuis un zombie ?

#7

Ce serveur est uniquement un serveur de mails, et de tests … Aucun site publique dessus, et il est quand même visité (enfin ils essayent), j’ai l’impression que de faire parti du pool d’IP d’OVH est un des premiers critères de risque ! :wink:

#8

+1 :mrgreen:

#9

Re,
Je viens d’éplucher mes logs. Effectivement aucune attaque sur ssh.
Par contre snort travaille beaucoup et j’ai en permanence une dizaine d’IP bloquées pour cause de scans de ports… Snort bloque les IP pendant 6 heures.

#10

[quote=“lol”]Re,
Je viens d’éplucher mes logs. Effectivement aucune attaque sur ssh.
Par contre snort travaille beaucoup et j’ai en permanence une dizaine d’IP bloquées pour cause de scans de ports… Snort bloque les IP pendant 6 heures.[/quote]

l’autre solution c’est d’avoir une ipfix et de ce connecter aux serveur que depuis celle ci. du coup une petit règle vire tout ce qui arrive et qui corespond pas a l’ip et le tour est jouer, pas besoin de fail2ban ni d’autre bricole. inconvénient c’est qu’il faut avoir une ip fix et pas ce connecter depuis une autre provenance :slightly_smiling: