[Sécurité] fail2banFermé

Question

Bonjour,

j'ai une question d'ordre général sur fail2ban :

il y a 2 ou 3 jours j'ai installé fail2ban sur mes distributions Linux (à savoir debian, fedora, gentoo et mandriva). pas de problème apparent pour l'installer et le configurer.
Une question me tarabusque néanmoins : sachant que fail2ban est composée d'une partie serveur et d'une partie client.

Au démarrage de la machine :
redfox@localhost ~ $ ps -ef | grep fail2ban
root      4726     1  0 14:43 ?        00:00:02 /usr/bin/python /usr/bin/fail2ban-server -b -s /tmp/fail2ban.sock
redfox    5137  5067  0 15:08 pts/0    00:00:00 grep --colour=auto fail2ban
redfox@localhost ~ $ 

c'est fail2ban-server qui est lancé !
or, d'après mes lectures des différents liens (post<30>) et notament le tuto avec la debian, il faudrait lancer fail2ban-client.

..et si je lance :
redfox@localhost ~ $ fail2ban-client start
2008-01-28 14:57:20,313 fail2ban.server : INFO   Starting Fail2ban
ERROR  Could not start server. Maybe an old socket file is still present. Try to remove /tmp/fail2ban.sock. If you used fail2ban-client to start the server, adding the -x option will do it
redfox@localhost ~ $ 

normal, me direz-vous ? et là n'est pas la question.

alors je comprend pas bien, c'est server ou client que je dois lancer ????

:-))

sebsauvage · Answer

En temps normal, c'est le serveur qui protège la machine.
Le client n'est utile que pour contacter l'état du serveur, débloquer manuellement une IP, etc.

Autrement dit: En utilisation quotidienne, on ne lance jamais le client.

bob031 · Answer

Salut sebsauvage,

Arffff ! j'ai mal interprété un "passage" ...

Merci.

:-))

sebsauvage · Answer

De rien :-)

bob031 · Answer

bonjour,

mon "problème" :

je ne comprenais pas pourquoi je ne recevais pas les notifications par mail sur la Mandriva !
autre élément à prendre en compte, j'utilise Postfix sur la Mandriva.

la solution :
Copiez /etc/fail2ban/action.d/mail-whois.conf vers /etc/fail2ban/action.d/mail-whois.local, modifiez ce fichier et remplacez mail par sendmail.
source : http://www.fail2ban.org/...

je n'ai pas eu besoin de modifier le fichier mail-whois.local !

[root@mandriva ~]# rpm -qa | grep sendmail
[root@mandriva ~]# /etc/init.d/fail2ban restart
Arrêt de fail2ban :                                             [ÉCHEC ]
Lancement de fail2ban : 2008-04-13 20:38:53,868 fail2ban.server : INFO   Starting Fail2ban
ERROR  Could not start server. Maybe an old socket file is still present. Try to remove /tmp/fail2ban.sock. If you used fail2ban-client to start the server, adding the -x option will do it
                                                                [ÉCHEC ]
[root@mandriva ~]#
[root@mandriva ~]# rm /tmp/fail2ban.sock
rm: détruire socket `/tmp/fail2ban.sock'? y
[root@mandriva ~]# /etc/init.d/fail2ban status
fail2ban-server est arrêté
[root@mandriva ~]# /etc/init.d/fail2ban start
Lancement de fail2ban : 2008-04-13 20:40:13,762 fail2ban.server : INFO   Starting Fail2ban
                                                                [  OK  ]
[root@mandriva ~]#

[redfox@mandriva ~]$ mail
Heirloom mailx version 12.2 01/07/07.  Type ? for help.
"/var/spool/mail/redfox": 2 messages
>O  1 root@localhost.loc Sun Apr 13 20:40   25/707   [Fail2Ban] SSH: started
 O  2 root@localhost.loc Sun Apr 13 20:40   25/715   [Fail2Ban] Postfix: start
?
?
?
At EOF
?
At EOF
? q
Held 2 messages in /var/spool/mail/redfox
[redfox@mandriva ~]$

bob031 · Answer

j'ai des soucis avec fail2ban. voir : http://www.commentcamarche.net/forum/affich 6374535 mandriva sshd ne demarre plus au boot j'ai donc réinstallé fail2ban urpme fail2ban urpmi fail2ban je n'ai plus de messages d'erreur suivants : 2008-05-13 13:38:27,671 fail2ban.actions.action: ERROR rm -f returned 200 2008-05-13 13:38:32,464 fail2ban.actions.action: ERROR echo -en "Hi, 2008-05-13 13:38:32,651 fail2ban.actions.action: ERROR touch returned 200 2008-05-13 13:38:32,662 fail2ban.actions.action: ERROR echo -en "Hi, 2008-05-13 13:46:27,156 fail2ban.actions.action: ERROR rm -f returned 200 2008-05-13 13:46:27,167 fail2ban.actions.action: ERROR echo -en "Hi, 2008-05-13 13:46:28,331 fail2ban.actions.action: ERROR echo -en "Hi, 2008-05-13 13:46:32,640 fail2ban.actions.action: ERROR touch returned 200 2008-05-13 16:32:04,085 fail2ban.actions.action: ERROR rm -f returned 200 2008-05-13 16:32:09,837 fail2ban.actions.action: ERROR touch returned 200 2008-05-13 16:58:44,397 fail2ban.actions.action: ERROR rm -f returned 200 reste à voir pourquoi mon attaquant n'a as été banni ?????? May 11 21:04:24 mandriva sshd[7212]: Invalid user admin from 88.33.202.155 May 11 21:04:36 mandriva sshd[7216]: Invalid user stud from 88.33.202.155 May 11 21:04:42 mandriva sshd[7218]: Invalid user trash from 88.33.202.155 May 11 21:04:52 mandriva sshd[7220]: Invalid user aaron from 88.33.202.155 May 11 21:04:58 mandriva sshd[7222]: Invalid user gt05 from 88.33.202.155 May 11 21:05:04 mandriva sshd[7224]: Invalid user william from 88.33.202.155 May 11 21:05:11 mandriva sshd[7226]: Invalid user stephanie from 88.33.202.155 May 11 21:05:49 mandriva sshd[7238]: Invalid user gary from 88.33.202.155 May 11 21:06:02 mandriva sshd[7243]: Invalid user guest from 88.33.202.155 May 11 21:06:08 mandriva sshd[7245]: Invalid user test from 88.33.202.155 May 11 21:06:14 mandriva sshd[7247]: Invalid user oracle from 88.33.202.155 May 11 21:09:01 mandriva sshd[7398]: Invalid user lab from 88.33.202.155 May 11 21:09:14 mandriva sshd[7413]: Invalid user oracle from 88.33.202.155 May 11 21:09:20 mandriva sshd[7415]: Invalid user svn from 88.33.202.155 May 11 21:09:26 mandriva sshd[7418]: Invalid user iraf from 88.33.202.155 May 11 21:09:33 mandriva sshd[7420]: Invalid user swsoft from 88.33.202.155 May 11 21:09:39 mandriva sshd[7422]: Invalid user production from 88.33.202.155 May 11 21:09:45 mandriva sshd[7424]: Invalid user guest from 88.33.202.155 May 11 21:09:51 mandriva sshd[7426]: Invalid user gast from 88.33.202.155 May 11 21:09:58 mandriva sshd[7428]: Invalid user gast from 88.33.202.155 May 11 21:10:04 mandriva sshd[7430]: Invalid user oliver from 88.33.202.155 May 11 21:10:10 mandriva sshd[7432]: Invalid user sirsi from 88.33.202.155 May 11 21:10:16 mandriva sshd[7434]: Invalid user nagios from 88.33.202.155 May 11 21:10:26 mandriva sshd[7436]: Invalid user nagios from 88.33.202.155 May 11 21:10:32 mandriva sshd[7438]: Invalid user nagios from 88.33.202.155 May 11 21:10:38 mandriva sshd[7440]: Invalid user nagios from 88.33.202.155 May 11 21:10:45 mandriva sshd[7443]: Invalid user backuppc from 88.33.202.155 May 11 21:10:51 mandriva sshd[7445]: Invalid user wolfgang from 88.33.202.155 May 11 21:10:57 mandriva sshd[7448]: Invalid user vmware from 88.33.202.155 May 11 21:11:03 mandriva sshd[7450]: Invalid user stats from 88.33.202.155 May 11 21:11:10 mandriva sshd[7452]: Invalid user kor from 88.33.202.155

bob031 · Answer

un fichier intéressant (dans Mandriva) est le fichier /var/log/btmp. Il contient une trace de toutes les connections échouées.
on peut bien sûr taper la commande suivante :
cat /var/log/btmp
......mais le fichier n'est pas très lisible.

on peut taper alors la commande suivante :
[root@mandriva log]# lastb
kor      ssh:notty    host155-202-stat Sun May 11 21:11 - 21:11  (00:00)
stats    ssh:notty    host155-202-stat Sun May 11 21:11 - 21:11  (00:00)
vmware   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
wolfgang ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
backuppc ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
nagios   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
nagios   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
nagios   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
nagios   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
sirsi    ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
oliver   ssh:notty    host155-202-stat Sun May 11 21:10 - 21:10  (00:00)
gast     ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
gast     ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
guest    ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
producti ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
swsoft   ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
iraf     ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
svn      ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
oracle   ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
lab      ssh:notty    host155-202-stat Sun May 11 21:09 - 21:09  (00:00)
oracle   ssh:notty    host155-202-stat Sun May 11 21:06 - 21:06  (00:00)
test     ssh:notty    host155-202-stat Sun May 11 21:06 - 21:06  (00:00)
guest    ssh:notty    host155-202-stat Sun May 11 21:06 - 21:06  (00:00)
gary     ssh:notty    host155-202-stat Sun May 11 21:05 - 21:05  (00:00)
stephani ssh:notty    host155-202-stat Sun May 11 21:05 - 21:05  (00:00)
william  ssh:notty    host155-202-stat Sun May 11 21:05 - 21:05  (00:00)
gt05     ssh:notty    host155-202-stat Sun May 11 21:04 - 21:04  (00:00)
aaron    ssh:notty    host155-202-stat Sun May 11 21:04 - 21:04  (00:00)
trash    ssh:notty    host155-202-stat Sun May 11 21:04 - 21:04  (00:00)
stud     ssh:notty    host155-202-stat Sun May 11 21:04 - 21:04  (00:00)
admin    ssh:notty    host155-202-stat Sun May 11 21:04 - 21:04  (00:00)

btmp begins Sun May 11 21:04:24 2008
[root@mandriva log]# lastb

...ce qui est quand même beaucoup mieux !

Grunt · Answer

Sinon, il y a "denyhost", que je trouve plus simple a installer, paramétrer et utiliser.

bob031 · Answer

ha oui ! "denyhost" que je retrouve souvent sur les forums ! 
fail2ban marche bien et n'est pas compliqué à paramétrer et à utiliser ! 
le truc c'est que sur la mandriva, c'est parfois plus laborieux que pour sur autres distributions.

bob031 · Answer

Ah.. parce qu'au vu des posts ça me paraissait laborieux, fail2ban

ça c'est parce que je ne suis pas très doué ! :-)

en fait, disons que je veux à tout prix que tout soit correctement configuré (alerte mails, etc .....), sinon l'installation basique est enfantine et se fait en 5 mns .....même sur la mandriva  :-)

bob031 · Answer

Quand je veux voir qui m'a attaqué je fais "tail /var/mail/mon_login" ce qui est, je te l'accorde, du paramétrage à la hache.

idem ! je regarde dans /var/log/mail/mail .....mais on peut trouver des traces dans d'autres fichiers.


le seul hic encore c'est que mon gars ne s'est pas fait bannir sur la mandriva ! ....et je voudrai bien savoir pourquoi ....

:-))

bob031 · Answer

bonjour,

des soucis avec fail2ban sur ma debian !

debian:/var/log# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running.
debian:/var/log#

de plus la règle fail2ban n'apparaît pas lors de la commande iptables -L -nv

à suivre ...

bob031 · Answer

doc à re-lire :
Blocking a DNS DDOS using the fail2ban package
Posted by vlm on Sat 31 Jan 2009 at 14:20 
http://web.archive.org/web/*/https://debian-administration.org/article/623/Blocking_a_DNS_DDOS_using_the_fail2ban_package

[Sécurité] fail2ban

12 réponses

Discussions similaires

Newsletters