Fail2Ban List des jails

shewy80 · Mai 12, 2018, 8:46am

Bonjour !
Désolé pour le délai de réponse, mais j’étais limité dans mes réponses sur ce site étant nouveau.
Juste un résumé de ce qui s’est passé suite à vos conseils
J’y suis arrivé : j’ai bien 17 prisons actives !!
Le fait de tout reprendre de zéro et de suivre vos conseils m’ont permis de trouver.

Il ne fallait effectivement pas toucher au fichier jail.conf
Il ne fallait pas le copier intégralement non plus d’ailleurs.
Il fallait un fichier perso (jail.local -le nom importe peu-) situé soit à la racine, soit dans /jail.d (les deux fonctionne) et dans ce fichier perso uniquement ça :

[DEFAULT]
ignoreip = 127.0.0.1/8 86.xx.xx.xx
findtime = 3600
bantime = 86400
maxretry = 3
destemail = xxxx@gmail.com
sendername = Fail2Ban
sender = fail2ban@localhost

#
# ACTIONS
#

#1
[ssh]
enabled  = true

#2
[dropbear]
enabled  = true

#3
[pam-generic]
enabled  = true

#4
[xinetd-fail]
enabled   = true

#5
[ssh-ddos]
enabled  = true

#6
[apache] 
enabled  = true

#7
[apache-multiport]
enabled   = true

#8
[apache-noscript]
enabled  = true

#9
[apache-overflows]
enabled  = true

#10
[apache-modsecurity]
enabled  = true

#11
[apache-nohome]
enabled  = true

#12
[pure-ftpd]
enabled  = true

#13
[mysqld-auth]
enabled  = true
filter   = mysqld-auth
port     = 3306
logpath  = /var/log/mysql/error.log

#14
[apache-phpmyadmin]
enabled = true
port = http,https
filter = apache-phpmyadmin
logpath = /var/log/apache*/*error.log
maxretry = 3

#15
[apache-w00tw00t]
enabled = true
port = 80,443
action = %(action_mwl)s
filter = apache-w00tw00t
logpath = /var/log/apache*/*error.log
maxretry = 1

#16
[apache-bruteforce]
enabled = true
filter = apache-bruteforce
action = iptables[name=Apache-bruteforce,port=80,protocol=tcp]
logpath = /var/log/apache*/error*.log
maxretry = 1

#17
[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/apache2/error.log
action = iptables[name=HTTP, port=http, protocol=tcp]

Vous remarquerez sur la fin j’ai mis les modules complets : ceux que j’ai rajoutés grâces aux tutos.
Enfin il fallait également enabled les modules petit à petit, et vérifier après presque chaque activation, car plusieurs fois Fail2Ban a refusé de démarré à la suite d’un ajout probablement inopérant.

Pour reprendre une précédente demande de @im_a_teapot sa commande me renvoi bien qqchose de plus rassurant :

Status for the jail: pure-ftpd
|- filter
|  |- File list:        /var/log/syslog
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0

Quand je consulte les logs je n’ai plus de uban au bout de 10mins.

2018-05-08 23:16:04,548 fail2ban.actions[18248]: WARNING [pam-generic] Ban 58.218.201.181
2018-05-08 23:16:04,568 fail2ban.actions[18248]: WARNING [pam-generic] Ban 103.99.2.69
2018-05-08 23:16:05,535 fail2ban.actions[18248]: WARNING [ssh] Ban 58.218.201.181
2018-05-08 23:16:05,541 fail2ban.actions[18248]: WARNING [ssh] Ban 103.99.2.69
2018-05-09 06:48:49,743 fail2ban.actions[18248]: WARNING [ssh] Ban 64.47.43.98
2018-05-09 07:13:20,127 fail2ban.actions[18248]: WARNING [ssh] Ban 103.99.3.96
2018-05-09 07:36:35,438 fail2ban.actions[18248]: WARNING [ssh] Ban 5.188.203.113
2018-05-09 07:50:33,194 fail2ban.actions[18248]: WARNING [ssh] Ban 42.3.145.12
2018-05-09 09:09:04,683 fail2ban.actions[18248]: WARNING [ssh] Ban 222.14.51.125
2018-05-09 10:42:36,216 fail2ban.actions[18248]: WARNING [ssh] Ban 42.7.26.15
2018-05-09 11:26:19,134 fail2ban.actions[18248]: WARNING [ssh] Ban 103.99.0.190

2018-05-09 11:27:39,082 fail2ban.actions[18248]: WARNING [pam-generic] Unban 58.218.201.181
2018-05-09 11:27:39,088 fail2ban.actions[18248]: WARNING [pam-generic] Unban 103.99.2.69
2018-05-09 11:27:42,233 fail2ban.actions[18248]: WARNING [ssh] Unban 58.218.201.181
2018-05-09 11:27:42,239 fail2ban.actions[18248]: WARNING [ssh] Unban 103.99.2.69
2018-05-09 11:27:42,243 fail2ban.actions[18248]: WARNING [ssh] Unban 64.47.43.98
2018-05-09 11:27:42,248 fail2ban.actions[18248]: WARNING [ssh] Unban 103.99.3.96
2018-05-09 11:27:42,252 fail2ban.actions[18248]: WARNING [ssh] Unban 5.188.203.113
2018-05-09 11:27:42,257 fail2ban.actions[18248]: WARNING [ssh] Unban 42.3.145.12
2018-05-09 11:27:42,261 fail2ban.actions[18248]: WARNING [ssh] Unban 222.14.51.125
2018-05-09 11:27:42,266 fail2ban.actions[18248]: WARNING [ssh] Unban 42.7.26.15
2018-05-09 11:27:42,270 fail2ban.actions[18248]: WARNING [ssh] Unban 103.99.0.190

j’ai d’ailleurs depuis augmenté le délai de ban à 5 jours après 2 tentatives … c’est tjrs les mêmes ip qui reviennent et débloquer sachant que j’ai mis mon ip dans ignoreip

Une nouvelle fois je vous remercie tous et toutes, vous m’avez aidé à avancer et trouver une solution.
MERCI

Leobo · Mai 12, 2018, 4:53pm

Bien ouèj’ !