fail2ban ssh


#1

Bonjour, j’ai utilisé sur un routeur le paquet fail2ban pour bloquer les attaque ssh en “brute force” sur mon serveur qui accepte la connection en passwd, mais depuis qques temps, il ne détecte plus les tentatives d’intrusion (malgré une reinstall complète avec purge).
J’ai regardé au niveau d’iptables, les modifs de fail2ban semblent bien là (renvoi des paquets ssh vers la chaine fail2ban), mais il ne detecte plus les tentatives.
Si quelqu’un a une idée…
Par ailleurs, j’ai vu passer sur debian-security@lists.debian.org l’annonce de sortie d’un module pam assurant le même type de protection (bloquage temporaire des connections venant d’une adresse ayant connu trop d’echec d’authentification), mais je ne le retrouve plus, et surtout… Je ne sais pas configurer un module pam :smiley:
HELP !


#2

Jamais entendu parlé d’un module PAM qui fasse ça, mais c’est vrai que ça serait plutôt sympa. Pour utiliser un module PAM, il suffit d’aller dans /etc/pam.d puis de le rajouter dans le fichier qui va bien, c’est à dire celui qui correspond au service pour lequel tu veu utiliser ce modue.
Par exemple, le fichier /etc/pam.d/ssh contient la liste des modules à utiliser pour ouvrir une session ssh.
Par contre, fail2ban j’ai jamais testé. T’as de la vie dans les logs? T’as essayé de le configurer en mode verbeux pour voir ce qui se passe? Le mode Debug est bien désactivé?


#3

il a fonctionné sans pb pendant 5/6 mois, et il est tout à fait verbeux, mais pas dans les logs, par mail:
tu vois encore 2 ou trois lignes d’echec de tentative ssh à une heure donnée, puis tu reçois un mail de fail2ban te disant que l’adresse à été bloquée, envoyé à l’heure de la dernière tentative.
C’est efficace: je suis passé d’1 logcheck toutes les heures de 200/300 lignes à 5/6 envois par jour <10 lignes (quelques pauvres traces d’envois de mail ou le demarrage des tentatives d’intrusion) + 5/6 adresses bannies tous les jours.
Alors je sais que le module PAM existe, puisque j’ai discuté avec son créateur, quand il l’a annoncé il y a un mois, à propos de fail2ban, par le biais de la liste debian-security, mais je ne retrouve plus ma correspondance (trop de ménage ?), et donc je n’ai plus la réfèrence (en plus si ca se trouve il n’est disponible qu’en sid ou experimental).
Concernant PAM, j’avais bien compris qu’il fallait mettre le module qui va bien dans le fichier d’/etc/pam.d qui va bien :wink: mais le problême, c’est que je n’ai pas compris (=vu d’un peu +haut) le fonctionnement de PAM, et qu’à part rajouter bêtement des authentifications ntfs en suivant des recettes, je n’ai pas eu l’occasion d’y rentrer, et je ne sais pas par ou commencer un survol synthètique…


#4

Je voulais parler du fichier /var/log/fail2ban.log (dont tu peu régler le contenu en modifiant le paramétre verbose dans le fichier de conf), il y a rien d’anormal dedans?
Pour ton module PAM, j’ai cherché dans mes sources (je suis en sid), j’ai pas trouvé de libpam faisant ça.


#5

de fait, il y a des choses anormales dans /var/log/fail2ban.log …
mais comme c’est du boulot, je regarderais ca aux horaires de boulot demain matin…


#6

:laughing: :laughing: :laughing:
Hier midi, avant de partir du boulot, j’ai fait une nouvelle fois une purge-réinstall de fail2ban, et ce matin, j’avais 2 mails de bloquage…
Tout remarche nickel.
Les erreurs dans le log sont à investiguer, mais elles ont une autre cause.
Elles annoncent que des ‘iptables -X’ se sont terminé avec l’erreur 256, donc je suppose que ce ne sont que ca correspond à quand fail2ban fait son nettoyage initial, et qu’il n’y a rien à nettoyer.
En attendant, j’ai fait une demande d’info sur debian-security, donc avec un peu de chance le createur du module pam va s’y manifester et me répondre.
Je mettrais ici des nouvelles quand j’en aurais…


#7

[quote=“debian-security@lists.debian.org”]Hi!

The announcement can be found in the list archive:
lists.debian.org/debian-security … 00023.html

I packaged the pam module and filed an ITP bug. Unfortunately (though it
was also posted on debian-mentors) no one seemed to be interested in
sponsoring the package, so I am still in search for someone willing to
help :slightly_smiling:.

The original announcement and the thread contains (hopefully) all
necessary information regarding the pam_abl module. If you have any
further questions, don’t hesitate to ask me.

Nico [/quote]
il a besoin d’aide !
étonnant, non ?