Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 14/10/2012, à 00:24

capitainabloc

fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

bonjour à tous.

je configure petit à petit mon server sous ubuntu server, et j'ai réussi à configurer les failregex de fail2ban comme je voulais.

Cependant, lorsqu'on redémarre le service fail2ban, je constate que toutes les ips bannies sont débannies, ce qui m'ennuie un peu.

Y a-t'il un moyen de bannir les anciennes entrées d'un log? c'est à dire de scanner des vieux logs avec fail2ban, et de bannir les ips des "méchants" wink

merci d'avance

Hors ligne

#2 Le 14/10/2012, à 01:13

Maisondouf

Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

Est-ce pas un faux problème ?
En théorie le serveur tourne 24/7 et fail2ban aussi.


ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor,  OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)

Hors ligne

#3 Le 14/10/2012, à 01:28

capitainabloc

Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

un faux problème, oui mais...

si la question est posée c'est que ca peut etre intéressant.

du genre le serveur a tourné sans fail2ban, et je souhaite bannir les tentatives passées, ou bien, après avoir ajouté des jails, je redémarre le service...

Hors ligne

#4 Le 14/10/2012, à 12:01

Titouan

Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

Cela revient à faire une règle sur 'Ban' dans les logs.

sudo nano /etc/fail2ban/filter.d/ban.conf

# Fail2Ban configuration file
#
# Author: Nicolargo
#
[Definition]
# Option: failregex
# Filter Ban in the fail2ban.log
failregex = .*Ban\ <HOST>
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

jail.local

...
# Multi Ban
# 3 ban in 1 hour > Ban for 1 hour
[multi-ban]
enabled = true
filter = ban
logpath = /var/log/fail2ban.log
maxretry = 3
findtime = 3600
...

Source:http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html

Hors ligne

#5 Le 14/10/2012, à 12:52

capitainabloc

Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

ok, mais c'est pas ma question en fait.

je voudrais savoir si on peut analyser des logs existant et bannir les ip avec fail2ban. Des logs existant avant l'install de fail2ban.

smile

Hors ligne

#6 Le 14/10/2012, à 18:38

Titouan

Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?

en renseignant logpath = /var/log/target/target.log* ??
je pense que tu dois décompresser tes logs archivés.

Hors ligne

Haut de page ↑