Fail2ban pour owncloud 9.1

Fermé
FredM - 20 oct. 2016 à 01:38
 FredM - 20 oct. 2016 à 15:12
Bonjour,

Impossible de faire fonctionner une failregex pour owncloud pour bloquer les erreurs de connexion

Dans le /etc/fail2ban/filter.d/owncloud.conf
[Definition]
failregex ={"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>'\)","level":2,"time":".*"}
ignoreregex=

Dans le jail.conf j'ai :
[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 1


Et quand je teste :

fail2ban-regex /var/log/owncloud.log /etc/fail2ban/filter.d/owncloud.conf -v

Je n'ai que des missed alors que cela semble correspondre :
Lines: 11 lines, 0 ignored, 0 matched, 11 missed
|- Missed line(s):
| {"reqId":"CPMvJGcfRl4EHpQ9luKz","remoteAddr":"2a03:xxxx:19:wwww:69fe:c29a:7aec:d811","app":"core","message":"Login failed: 'abcd' (Remote IP: '2a03:xxxx:19:wwww:69fe:c29a:7aec:d811')","level":2,"time":"2016-10-19T23:25:40+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=abcd","user":"--"}
|
.....

Une idée ?

MErci
Fred

4 réponses

Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021 9 658
20 oct. 2016 à 01:52
Salut,

En l'état j'ai bien une idée : le "log" contient des IPv6 pour les tentatives de connexion... Est-ce que ton fail2ban comprend les IPv6 ? ;-))

Probablement là le problème, certaines versions ne comprennent pas.

Si ton "hôte" de fail2ban se trouve sous debian, il y a même de fortes chances que il possède une version qui n'est pas compatible.

Que te retourne la commande :
fail2ban-client -V
dans un terminal? ;-)
0
# fail2ban-client -V
Fail2Ban v0.8.13
Je suis sous debian jessie.
Fail2ban gère bien les bannissements ssh mais dans les logs ce sont des ip4 ce qui confirmerait ta piste.

Fred
0
J'ai trouvé ceci :
https://www.debian-fr.org/t/fail2ban-et-ipv6/52906
Ce patch permettrait peut-être de résoudre mon pb...

Fred
0
Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021 9 658
20 oct. 2016 à 11:35
La version confirme.

Deux solutions : soit tu bloques les connexions ipv6 via iptables sur owncloud et ne maintient que l'ipv4, soit tu utilises un patch sur fail2ban... :-)
0
Merci à toi. Je vais essayer de patcher.
Par contre même avec des adresse ipv4 fail2ban ne fait pas son boulot.
Ce type de ligne dans le onwcloud.log est marquée "missed"...
Il doit y avoir un autre souci.
Fred

{"reqId":"lftTrk04X1VI6uCzsnAx","remoteAddr":"37.166.167.126","app":"core","message":"Login failed: 'a' (Remote IP: '37.166.167.126')","level":2,"time":"2016-10-20T15:08:34+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=a","user":"--"}
0