Ubuntu-fr

Qid

fail2ban ne veut pas me banir ...

j'ai decouvert un truc qui m'a choqué sur les log d'apache :
je me suis fait "bombardé" par mon bahut !
bon ducoups j'ai envoyé un mail à mon admin
mais de mon coté je me suis repanché sur
fail2ban, antiddos et denyhosts, iptables
le probleme c'est que la premiere config n'etait pas de moi
et en l'occurence commele dit le titre du sujet
meme apres avoir repris la documentation
j'ai beau tout faire pour me faire envoyer bouler
eh bien non mais avec une 15aine de "alt-F5" sur l'une de mes page
je peu toujours y acceder ... ... ... alors comme ça ça marche ce truc non de dieu ?
sachez quand meme que je suis dans le meme réseau local que le serveur
mais je faisais mes test à partir d'une ip "inconue"
vous avez besoin de quels fichier avec quelle donné sensible à planquer
pour pouvoir m'aider ? parce que c'est pas faute d'avoir écumer la doc et le forum hein ...

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

Salut Qid,
Je peux pas de répondre directement car j'utilise denyhost et pas fail2ban. Cela dit denyhost à l'air de bien fonctionner puisqu'il me banni en moyenne une IP par jour (c'est dingue non ?) sur mon accès ssh. Et en comparant avec les log de mon routeur, ça colle (donc c'est pas des bannissements à tort).
Voilà, je sais que ça t'aidera pas si tu veux continuer à utiliser fail2ban, mais c'était juste pour l'info.

Qid

Re : fail2ban ne veut pas me banir ...

j'aurais bien aimer utiliser denyhost seulement
je croyais qu'il gererait autre chose que ssh
parce que bon je suis pas sur le port par defaut
donc deja ça ça limite la casse

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

Ben avec denyhost tu peux choisir de bloquer que le ssh ou tous les service (option ALL d'après la doc). Perso, je ne l'utilise que pour le ssh (pour lequel je n'autorise de toute façon que l'authentification par clé cryptée protégée par mot de passe).

Qid

Re : fail2ban ne veut pas me banir ...

Ben avec denyhost tu peux choisir de bloquer que le ssh ou tous les service (option ALL d'après la doc).

je sais bien mais ça marche pas

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

Ça marche pas pour quoi : sshd ou les autres services ?
(tiens, denyhost viens de bannir une nouvelle IP ce soir)

Qid

Re : fail2ban ne veut pas me banir ...

pour ssh je sais pas j'ai pas franchement lieu de tester
puisque je suis pas sur le port par defaut :
je parlait pour http/apache ...
je me suis d'ailleur encore fait attaquer ce matin ...
j'arrete pas de zonner pour me trouver
la ligne de banip mannuelle qui irais bien
mais je m'y perd un peu

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

lsam

Re : fail2ban ne veut pas me banir ...

Salut,
T'es certain que ton fichier /etc/fail2ban/jail.conf est configuré comme tu souhaites ?

compte supprimé

Re : fail2ban ne veut pas me banir ...

Pour ssh ça marche même sur un autre port que le 22 (je suis sur le 443). En fait ça ne dépend pas du port. Pour apache, je me suis jamais fait attaquer (mais y'a rien sur mon site...).

Qid

Re : fail2ban ne veut pas me banir ...

Salut,
T'es certain que ton fichier /etc/fail2ban/jail.conf est configuré comme tu souhaites ?

bah ... ... je crain plus pour la syntaxe de mon iptable en faite
il marche certes mais je comprend pas franchement comment

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

Salut,
T'es certain que ton fichier /etc/fail2ban/jail.conf est configuré comme tu souhaites ?

bah ... ... je crain plus pour la syntaxe de mon iptable en faite
il marche certes mais je comprend pas franchement comment

Je vais dire une énormité mais pour configurer facilement le parefeu (et plein d'autres trucs) j'utilise webmin qui est vraiment user friendly

Qid

Re : fail2ban ne veut pas me banir ...

Pour ssh ça marche même sur un autre port que le 22 (je suis sur le 443). En fait ça ne dépend pas du port. Pour apache, je me suis jamais fait attaquer (mais y'a rien sur mon site...).

oui oui je me doute que ça marche aussi pour les autres ports et heureusement
mais ce que je vouais dire c'est juste que comme je suis pas sur le port par defaut ça me préocupe moin
sur mon apache il y a pas grand chose non plus en direct en fait :
j'ai un blocage par ip actif pour l'architecture complete (autre que index)
sans compter le fait que certaine chose sont sur disque dur externe
mais le souci c'est que ma connection est hyper sensible à ce genre de situation
le pire c'est que la premiere attaque etant partie de mon bahut j'ai une petite idée de la source humaine
je suis en bts informatique et je refait ma premiere année parce que j'avais une classe de boulet fini ...

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

Dans ce cas si t'as qu'une IP qui t'attaque et toujours la même tu peux juste bloquer celle là avec le parefeu non ?

Qid

Re : fail2ban ne veut pas me banir ...

Dans ce cas si t'as qu'une IP qui t'attaque et toujours la même tu peux juste bloquer celle là avec le parefeu non ?

wai mais j'arrive pas à trouver la bonne syntaxe réel ...
et en plus je me vois pas bannir mon bahut : je m'en sers moi de mon serv
et je vais pas changer mon hosts à chaque attaque ...

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

Qid

Re : fail2ban ne veut pas me banir ...

j'utilise webmin qui est vraiment user friendly

tu trouve ! ... je suis sur la demo proposé sur le site officiel et franchement je le sens pas dutout
en plus de toutes façon il y a pas de depots pour ce truc ...

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

compte supprimé

Re : fail2ban ne veut pas me banir ...

T'as un  .deb
(j'te jure c'est simple même si c'est un peu lourd je le concède)

B@rtounet

Re : fail2ban ne veut pas me banir ...

franchement y  à quand même pas mal de moyen de bloquer les attaques.
en ce qui concerne SSH, le faire ecouter sur un port non standard, faire une authentification par clé, et empecher la connexion en root, et je pense que tu as peu de chance de te faire pirater.
Après si c'est seulement les tentatives de connexions qui te dérange et que tu utilise toi même cette ip pour te connecter, c'est plus délicat...
Mais bon y à des solutions, VPN, ping pong avec un autre serveur, etc...

En ce qui concerne Apache je me suis moi même pencher il y à pas longtemps sur la question
http://blog.info16.fr/?p=139

---

http://blog.info16.fr

Qid

Re : fail2ban ne veut pas me banir ...

de toutes façon oui moi ce qui me gene la c'est juste apache
et j'ai survolé ton truc mais j'y crois pas plus ...
bon j'aurais ptetre du me pencher plus dessus mais voila

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

Qid

Re : fail2ban ne veut pas me banir ...

bon de toutes façon ce que je veux c'est faire
du blocage ip pour toute entrées sur mon pc !
en l'occurence tampi pour mon bahut mais bon
de toutes façon j'y suis que 2 jours par semaine
donc je débloquerais que pour ses jours la à la limite

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

B@rtounet

Re : fail2ban ne veut pas me banir ...

de toutes façon oui moi ce qui me gene la c'est juste apache
et j'ai survolé ton truc mais j'y crois pas plus ...
bon j'aurais ptetre du me pencher plus dessus mais voila

C'est un module apache officiel qui fonctionne très bien.
Après si tu veux vraiment restreindre l'ip de ton bahut, une simplie règle iptables suffit.

uune règle comme ca devrait fonctionner

iptables -A INPUT -s IP_BAHUT -j DROP

Après il a vraiment bcp de solution... VPN, tunnel SSH, module de sécurité... si vraiment tu veux pas etre emmerder tu le peux.

Dernière modification par B@rtounet (Le 15/10/2009, à 14:07)

---

http://blog.info16.fr

Qid

Re : fail2ban ne veut pas me banir ...

iptables -A INPUT -s IP_BAHUT -j DROP

Après il a vraiment bcp de solution... VPN, tunnel SSH, module de sécurité... si vraiment tu veux pas etre emmerder tu le peux.

wai mais la j'avoue que les mettre ne place c'est pas si facile
en attendant je vais prendre la ligne iptable que t'a donné
mais bon ça m'explique pas pourquoi ni fail2ban ni denyhost ne marche pas

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil

B@rtounet

Re : fail2ban ne veut pas me banir ...

Maintenant que j'y pense j'ai même une autre soluce pour toi le Port-knocking qui est une méthode permettant de modifier le comportement d'un firewall en temps réel pour provoquer l'ouverture d'un port suite au lancement préalable d'une suite de connexions sur des ports distincts dans le bon ordre, à l'instar d'un code frappé à une porte.

Tu vois y en a pein de solutions .

---

http://blog.info16.fr

compte supprimé

Re : fail2ban ne veut pas me banir ...

Dans ce cas y a plus simple : il éteint apache et quand il en a besoin il se connecte via ssh et le lance.

B@rtounet

Re : fail2ban ne veut pas me banir ...

pour ssh le port knocking est ultra simple à mettre en oeuvre.

---

http://blog.info16.fr

Qid

Re : fail2ban ne veut pas me banir ...

Dans ce cas y a plus simple : il éteint apache et quand il en a besoin il se connecte via ssh et le lance.

eh oui ... sauf que de mon bahut ssh est bloqué (pas à cause du port)
mais c'est vrais que sinon meme si c'est un peu contraignant ça aurait pu le faire
quant au port knocking j'ia bien compris le principe mais je vois mal comme le faire

---

"GNU/Linux c'est que du bon mais M$ Windows ce n'est pas si mal"
Référent technique Ubuntu d'un Groupe d'Utilisateur du Libre
plus d'info sur mon profil