Pages : 1
#1 Le 03/10/2007, à 23:41
- Jordy
[Resolu]Problemes avec ssh et fail2ban
Bonjour a tous ( ou bonsoir...c'est comme vous voulez ^__^ )
Voila j'ai installer ubuntu serveur sur une machine..tout c'est bien passe...mais il ya un problème avec fail2ban et le ssh
Voici mon jail.conf
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
## The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 120
maxretry = 3# "backend" specifies the backend used to get files modification. Available# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = polling#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost#
# ACTIONS
## Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport#
# Action shortcuts. To be used to define action parameter# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s"]# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s"]
mail-whois[name=%(__name__)s, dest="%(destemail)s"]# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s"]
mail-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s#
# JAILS
## Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Please enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true
#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local[ssh]
enabled = true
port = ssh,sftp
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Le reste du fichier n'est pas interessant il contiens les autres services a protege
Et voici mon auth.log
Oct 3 23:19:31 bart sshd[4412]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct 3 23:19:33 bart sshd[4412]: Failed password for jordan from 192.168.0.1 port 56907 ssh2
Oct 3 23:19:40 bart last message repeated 2 times
Oct 3 23:19:53 bart sshd[4414]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct 3 23:19:55 bart sshd[4414]: Failed password for jordan from 192.168.0.1 port 56908 ssh2
Oct 3 23:20:01 bart last message repeated 2 times
Oct 3 23:20:13 bart sshd[4416]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct 3 23:20:15 bart sshd[4416]: Failed password for jordan from 192.168.0.1 port 56909 ssh2
Oct 3 23:20:18 bart sshd[4416]: Failed password for jordan from 192.168.0.1 port 56909 ssh2
Comme vous le voyais..j'ai imité un brute force en me connectant au ssh et en donnant des mot de passe faux...mais malgré x tentative...je ne suis toujours pas banni du serveur...
Ce qui m'inquiète c'est les port de connections..sous le fichier de config j'ai juste laisse le port ssh...mais dans les log de connections il prend toujours un port aléatoire
Comment faire pour que fail2ban fasse son bouleau.. ?
Merciii
Dernière modification par Jordy (Le 04/10/2007, à 19:37)
Hors ligne
#2 Le 04/10/2007, à 00:25
- Uggy
Re : [Resolu]Problemes avec ssh et fail2ban
-
Dernière modification par Uggy (Le 04/10/2007, à 00:25)
Hors ligne
#3 Le 04/10/2007, à 08:06
- Jordy
Re : [Resolu]Problemes avec ssh et fail2ban
Es ce que tu pourrai un peu plus argumenté ta réponse ?
Hors ligne
#4 Le 04/10/2007, à 09:24
- Marama
Re : [Resolu]Problemes avec ssh et fail2ban
Tu as bien redémarré fail2ban après l'avoir installé?
/etc/init.d/fail2ban restart
Pluxml - http://pluxml.org
Hors ligne
#5 Le 04/10/2007, à 13:14
- Jordy
Re : [Resolu]Problemes avec ssh et fail2ban
Biensur que j'ai redemaré le serveur...et le lancement se fait correctement.
D'ailleur un /etc/init.d/fail2ban status m'indique que fail2ban est bien lancé
Si il vous faut d'autre indication...dites le moi car j'aimerao bien que cela fonctionne
Hors ligne
#6 Le 04/10/2007, à 13:31
- Uggy
Re : [Resolu]Problemes avec ssh et fail2ban
Es ce que tu pourrai un peu plus argumenté ta réponse ?
Je m'etais trompé en voulant t'indiquer quelquechose dans mon post précédent...J'ai donc supprimé le contenu..
Par contre, sans répondre a ta question sur fail2ban, et si ton but est de sécuriser l'access SSH, je te conseille de configurer sshd pour n'authoriser que les connexions par clé. De cette manière aucune chance que qu'un puisse rentrer... et pas besoin de fail2ban...
Hors ligne
#7 Le 04/10/2007, à 18:03
- Jordy
Re : [Resolu]Problemes avec ssh et fail2ban
Bah mon but n'est pas seulement de secure ssh, je voudrai secure aussi le ftp et apache
Dernière modification par Jordy (Le 04/10/2007, à 18:04)
Hors ligne
#8 Le 04/10/2007, à 19:25
- Uggy
Re : [Resolu]Problemes avec ssh et fail2ban
Bah mon but n'est pas seulement de secure ssh, je voudrai secure aussi le ftp et apache
ok...
QUe donne la conf ssh qui doit etre dans /etc/fail2ban/filter.d/
A priori il créé des regles netfilter... Tu as bien netfilter ?
"sudo fail2ban-client status" ?
Hors ligne
#9 Le 04/10/2007, à 19:36
- Jordy
Re : [Resolu]Problemes avec ssh et fail2ban
En fete c'etais tout tout simple...y'avais qu'a lire dans le conf
Il falais que je cree un jail.local pour que tout soit pris en compte
En gros le jail.conf nous sert juste pour copier/coller dans le jail.local
Tout fonctionne
Hors ligne
Pages : 1