Ubuntu-fr

PounkyM

[Résolu] fail2ban ne bannit pas !

Bonjour à tous,

J’ai installé fail2ban et dans un premier temps je voudrais bannir les IP qui tentent de se connecter en ssh. Voici donc le fichier de configuration jail.conf :

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3

J’ai de plus rajouter une adresse mail pour recevoir un mail dès qu’une adresse mail était bannie en ajoutant la ligne

[default]

destemail = email

Mais je ne reçois rien alors que mes /var/log/auth.log sont loin d’être vides… Comment faire ?

Dernière modification par PounkyM (Le 02/07/2012, à 17:23)

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

bruno

Re : [Résolu] fail2ban ne bannit pas !

Ta configuration est bonne si ce n'est que tu aurais du la régler dans jail.local comme préconisé dans le fichier jail.conf :

# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local

Normalement après trois tentatives de connexion avortées l'ip de « l'attaquant » sera bannie.

Tu peux faire un iptables -L pour voir si des IP ont été bannies.

J'ai aussi utilisé fail2ban, mais à l'usage je trouve que c'est peu intéressant :
- cela agit a posteriori après analyse des logs ;
- ne fonctionne qu'en ipv4 ;
- les règles de filtrages fournies dans filter.d ont besoin d'être adaptées et améliorées pour être vraiment efficaces (tout dépend des services et des « attaques » récurrentes dont on est victime.

Pour ce qui concerne sshd je trouve bien plus simple et plus efficace de changer le port par défaut.

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Bonjour Bruno et merci de ta réponse.

J’ai restauré le jail.conf et fait les modifs sur le jail.local.

Malheureusement, j’ai un problème avec iptables :

% sudo iptables -L
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

bruno

Re : [Résolu] fail2ban ne bannit pas !

Apparemment iptables n'est pas installé.

sudo apt-get install iptables

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Ben c’est ce que je croyais aussi mais…

% sudo apt-get install iptables
Reading package lists... Done
Building dependency tree       
Reading state information... Done
iptables is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

# lsmod | grep ip_tables

et si le module ip_tables n'est pas dans la liste

# modprobe ip_tables

Dernière modification par xavier4811 (Le 30/06/2012, à 13:16)

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

% sudo lsmod                 
Module                  Size  Used by
fuse                   49036  1 
sd_mod                 23580  3

% sudo modprobe ip_tables
FATAL: Module ip_tables not found.

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

C'est un noyau recompilé maison ou c'est celui des dépots officiels ?

que donne la sortie de
sudo lsmod | grep ip
et de
sudo lsmod | grep xt

bruno

Re : [Résolu] fail2ban ne bannit pas !

Et la sortie de :

uname -a

pour voir la version du noyau et autres infos

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

% uname -a
Linux raspberrypi 3.1.9+ #90 Wed Apr 18 18:23:05 BST 2012 armv6l GNU/Linux

En fait, c’est une debian (squeeze) ARM spéciale pour le raspberry, que j’essaye de transformer en serveur

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

au vu des discussions sur le web, je doute que ce soit disponible.

que donne la sortie de
( attention au sens des quotes ` ` != ' ' )

find /lib/modules/`uname -r` -name 'ip_tables.*'

Dernière modification par xavier4811 (Le 30/06/2012, à 14:56)

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Oui, c’est ce que j’ai cru comprendre moi aussi…

La commande n’a rien donnée… Fail2ban ne peut donc pas marcher sans iptables ?

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Fail2ban crée des règles iptables pour bloquer les ip non désirées.
La solution envisageable est de recompiler le noyau mais sur une machine comme ça y en a pour 3 jours

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Heu... Ok ^^

Bon, bah je vais désinstaller Fail2ban alors

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Tout n'est pas complètement perdu :

http://www.raspberrypi.org/phpBB3/viewt … =50&t=7293

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Merci beaucoup pour ce post!

Mais recompiler le kernel, ça me fait un peu peur…

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Et la mise a jour avec l'outil rpi-update ?

Dernière modification par xavier4811 (Le 30/06/2012, à 20:14)

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Tu veux dire ça :

#To install the latest raspberry pi kernel updates just follow the next steps

# Update the CA(Certificate Authority) certificates
sudo apt-get install ca-certificates

# Get the Hexxeh rpi-update executable
sudo wget http://goo.gl/1BOfJ -O /usr/bin/rpi-update && sudo chmod +x /usr/bin/rpi-update

# Install the git(Kernel directory content management system) core
sudo apt-get install git-core

# Run the update
sudo rpi-update

# Reboot the pi
sudo reboot

Je peux tenter sans trop de risques ?

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Qu'est ce qui est le pire ?
Prendre le risque d'utiliser un script publié sur GitHub ou laisser la porte ouverte a toutes les attaques par brute force sur SSH et les autres services que tu voudra installer.
La sécurité est une affaire de compromis.
https://github.com/Hexxeh/rpi-update

Tout dépend aussi de ce que tu a déjà installé sur ta framboise et des possibilités de backup.

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Sur ma framboise pour l’instant, j’ai juste installé un serveur web (nginx) et je viens de finir d’installer dotclear dessus.

Je ne me suis pas encore occupé de comment je vais faire mes sauvegardes. Il parait que faire des sauvegardes incrémentales avec duplicity est bien mais je ne m’y connais pas du tout et il faut que je regarde ça !

C’est peut-être ça que je dois faire en priorité non ? Qu’en penses-tu ? (j’ai un disque dur de 1 To branché à mon raspi avec dessus mes partitions /home et /var)

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Il y a beaucoup de solutions de sauvegarde, chacune avec ses défauts ou ses qualités, avec ou sans interface graphique, chacun ses goûts et rien n'empêche d'en changer par la suite.
Pour une install comme ça ou même plus long je préfère écrire un bon script bash qui se charge de l'install et de la config (avec une partie purge a la fin). Je ne sauvegarde que les docs et les BDD. Les sauvegardes, je les fais a la main avec scp. Faudrait que je pense a automatiser un jour.
En cas de crash, pas besoin de rechercher mes notes ou les posts, je relance mon script et je restaure le reste.

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

Je pense que je n’ai pas encore assez de connaissances pour écrire un script bash...

Que sauvegardes-tu avec scp ? Tout ce qui est à la racine ou les plus importants ?

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Je pense que je n’ai pas encore assez de connaissances pour écrire un script bash...

A ce qu'on dit, c'est en forgeant qu'on deviens forgeron.

Que sauvegardes-tu avec scp ? Tout ce qui est à la racine ou les plus importants ?

Le plus important, sachant que j'ai 3 machines différents pour le faire.

PounkyM

Re : [Résolu] fail2ban ne bannit pas !

C’est bon, iptables semble marcher pour le moment !

Voici ma sortie de iptables -L :

% sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

% sudo fail2ban-client status ssh
Status for the jail: ssh
|- filter
|  |- File list:    /var/log/auth.log 
|  |- Currently failed:    0
|  `- Total failed:    0
`- action
   |- Currently banned:    0
   |  `- IP list:    
   `- Total banned:    0

Je suis chanceux ou fail2ban ne marche-t-il pas ?

Dernière modification par PounkyM (Le 02/07/2012, à 17:12)

---

"La liberté est un bagne aussi longtemps qu'un seul homme est asservi sur la terre"

xavier4811

Re : [Résolu] fail2ban ne bannit pas !

Pour le savoir essaie de te logger a partir d'un autre poste avec un nom et un mot de passe bidon plusieurs fois de suite assez rapidement.
Au bout d'un certain nombre d'essais tu devrait être banni automatiquement pour la durée définie dans tes params Fail2Ban.