[Lenny]fail2ban ne ban pas !

Platinium · Février 20, 2016, 4:42pm

Salut à tous,

J’utilise fail2ban sur un serveur pour protéger du brute-force.
Précédemment, je l’avais installé sur des serveurs Etch sans problème: tout fonctionnait parfaitement avec la conf par défaut.

J’ai remarqué que la version de fail2ban a changé et que les fichiers de conf ne sont plus pareils entre les deux versions.

Sur mon serveur Etch, les logs me remontent des milliers de brute force sur SSH Illegal users from: 202.91.163.133: 1506 times alors que fail2ban fonctionne root@SATURNE:~# /etc/init.d/fail2ban status Status of authentication failure monitor: fail2ban is running root@SATURNE:~#
Dans le fichier jail.conf, j’ai bien: [code]grep -v “#” jail.conf
…
[ssh]

enabled = true
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
…[/code]
Les différentes prisons sont bien fonctionelles:root@SATURNE:/etc/fail2ban# fail2ban-client status Status |- Number of jail: 7 `- Jail list: vsftpd, ssh, named-refused-udp, postfix, named-refused-tcp, apache, apache-multiportJe ne vois pas pourquoi rien n’est fait…
Une idée ?
Merci

mattotop · Février 20, 2016, 4:42pm

purge et réinstalle ?

Platinium · Février 20, 2016, 4:43pm

Je viens de faire un remove, une purge et un install.

A voir demain dans les logs ce que cela donne…

Platinium · Février 20, 2016, 4:43pm

Je comprends pas…

J’ai réinstallé fail2ban, j’ai pourri mon serveur en SSH depuis l’extérieur et rien ne se passe: fail2ban ne lève dynamiquement aucune règle.
J’ai essayé avec un autre serveur, depuis une autre IP (publique aussi) et rien ne se passe non plus, je peux retenter à l’infini.

Pour savoir si fail2ban marche sur d’autres protocoles, j’ai mis la protection de mon serveur DNS en place (udp et tcp).
Et là, les requête lamers sont détectées, et une règle est levée dans iptables:

[code]root@SATURNE:/etc/fail2ban# iptables -L
…

Chain fail2ban-named-refused-tcp (1 references)
target prot opt source destination
DROP all – 148.160.29.6 anywhere
RETURN all – anywhere anywhere

Chain fail2ban-named-refused-udp (1 references)
target prot opt source destination
DROP all – 148.160.29.6 anywhere
RETURN all – anywhere anywhere

Chain fail2ban-pam-generic (1 references)
target prot opt source destination
RETURN all – anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all – anywhere anywhere
root@SATURNE:/etc/fail2ban#
[/code]