Bonjour,
Je viens de tomber sur un truc qui m’étone assez.
Je viens de mettre un serveur debian etch 64bit en baie.

J’ai installé tous les services dont j’ai besoin : apache, mysql, pure-ftpd, postfix etc.
J’ai installé fail2ban et activé les services ssh, pure-ftpd, courierlogin, courierimap, et sasl en protection par fail2ban.
Tout fonctionne très bien mais voila, quand je tente un reboot de la debian, shutdown -h now… le serveur répond à ma demande de reboot avec succès, à l’air de couper les services mais le serveur ping toujours et ne s’arrête pas.
Je suis obligé de rebooter la machine via mon switch apc en hard.
En désinstallant fail2ban, cela fonctionne très bien. Alors, je n’ai pas essayé de réinstallé fail2ban et préfère demander avant.
Pour info, dans mon syslog, voici les derniers logs :
Feb 13 13:16:58 fth1 shutdown[3365]: shutting down for system reboot
Feb 13 13:17:05 fth1 kernel: Kernel logging (proc) stopped.
Feb 13 13:17:05 fth1 kernel: Kernel log daemon terminating.
Feb 13 13:17:06 fth1 exiting on signal 15

ensuite, c’est le log du start suite au reboot effectué électriquement
Pour info, il sagit de fail2ban 0.7.5-2etch1
Je précise que j’ai des règles iptables que je peux vous fournir ici bien que je ne pense pas qu’il y est une piste avec ça :

#!/bin/sh

Description: configuration de firewall netfilter/iptables

Initialization de la table FILTER

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP # les 3 cmd = debranchement des cables

Initialization de la table NAT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Initialisation de la table MANGLE

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

interface lo

iptables -A INPUT -i lo -s ‘0.0.0.0/0’ -d ‘0.0.0.0/0’ -j ACCEPT
iptables -A OUTPUT -o lo -s ‘0.0.0.0/0’ -d ‘0.0.0.0/0’ -j ACCEPT

table FILTER

chaque commande est sur une seule ligne

remplace eth0 avec ton interface

et xxx.xxx.xxx.xxx avec IP de ton serveur

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -t filter -A INPUT -p tcp --dport 999 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1982 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 1983 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 999 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 1982 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 1983 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

mon jail.conf

Fail2Ban configuration file.

This file was composed for Debian systems from the original one

provided now under /usr/share/doc/fail2ban/examples/jail.conf

for additional examples.

To avoid merges during upgrades DO NOT MODIFY THIS FILE

and rather provide your changes in /etc/fail2ban/jail.local

Author: Yaroslav O. Halchenko debian@onerussian.com

$Revision: 281 $

The DEFAULT allows a global definition of the options. They can be override

in each jail afterwards.

[DEFAULT]

“ignoreip” can be an IP address, a CIDR mask or a DNS host

ignoreip = 127.0.0.1
bantime = 600
maxretry = 3

“backend” specifies the backend used to get files modification. Available

options are “gamin”, “polling” and “auto”.

yoh: For some reason Debian shipped python-gamin didn’t work as expected

This issue left ToDo, so polling is default backend for now

backend = polling

Destination email address used solely for the interpolations in

jail.{conf,local} configuration files.

destemail = root

Default action to take: ban only

action = iptables[name=%(name)s, port=%(port)s]

Following actions can be chosen as an alternatives to the above action.

To activate, just copy/paste+uncomment chosen 2 (excluding comments) lines

into jail.local

Default action to take: ban & send an e-mail with whois report

to the destemail.

action = iptables[name=%(name)s, port=%(port)s]

mail-whois[name=%(name)s, dest=%(destemail)s]

Default action to take: ban & send an e-mail with whois report

and relevant log lines to the destemail.

action = iptables[name=%(name)s, port=%(port)s]

      mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]

Next jails corresponds to the standard configuration in Fail2ban 0.6

which was shipped in Debian. Please enable any defined here jail by including

[SECTION_NAME]

enabled = true

in /etc/fail2ban/jail.local.

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

HTTP servers

[apache]

enabled = false
port = http
filter = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 6

[apache-noscript]

enabled = false
port = http
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

FTP servers

[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/messages
maxretry = 3

[vsftpd]

enabled = false
port = ftp
filter = vsftpd
logpath = /var/log/auth.log
maxretry = 6

[proftpd]

enabled = false
port = ftp
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6

[wuftpd]

enabled = false
port = ftp
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6

Mail servers

[postfix]

enabled = false
port = smtp
filter = postfix
logpath = /var/log/postfix.log

[courierlogin]

enabled = true
port = pop3
filter = courierlogin
failregex = courierpop3login: LOGIN FAILED.ip=[.:]
logpath = /var/log/mail.log
maxretry = 3

[courierimap]

enabled = true
port = imap2
filter = courierlogin
failregex = imapd: LOGIN FAILED.ip=[.:]
logpath = /var/log/mail.log
maxretry = 3

[couriersmtp]

enabled = false
port = smtp
filter = couriersmtp
logpath = /var/log/mail.log

[sasl]

enabled = true
port = smtp
filter = sasl
failregex = warning: [-._\w]+[]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed
logpath = /var/log/mail.log
maxretry = 3

Je suis désolé pour ce long message et j’espère que vous aurez une idée.
Je précise que cette conf marche très bien sur un debian etch 32bit
Donc je sais pas si c’est un bug avec la 64, j’en doute.
Merci d’avance.