Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 03/10/2007, à 23:41

Jordy

[Resolu]Problemes avec ssh et fail2ban

Bonjour a tous ( ou bonsoir...c'est comme vous voulez ^__^ )

Voila j'ai installer ubuntu serveur sur une machine..tout c'est bien passe...mais il ya un problème avec fail2ban et le ssh

Voici mon jail.conf

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 120
maxretry = 3

# "backend" specifies the backend used to get files modification. Available# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport


#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s"]
              mail-whois[name=%(__name__)s, dest="%(destemail)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s"]
               mail-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Please enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true
#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh,sftp
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3

Le reste du fichier n'est pas interessant il contiens les autres services a protege

Et voici mon auth.log

Oct  3 23:19:31 bart sshd[4412]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct  3 23:19:33 bart sshd[4412]: Failed password for jordan from 192.168.0.1 port 56907 ssh2
Oct  3 23:19:40 bart last message repeated 2 times
Oct  3 23:19:53 bart sshd[4414]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct  3 23:19:55 bart sshd[4414]: Failed password for jordan from 192.168.0.1 port 56908 ssh2
Oct  3 23:20:01 bart last message repeated 2 times
Oct  3 23:20:13 bart sshd[4416]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost$
Oct  3 23:20:15 bart sshd[4416]: Failed password for jordan from 192.168.0.1 port 56909 ssh2
Oct  3 23:20:18 bart sshd[4416]: Failed password for jordan from 192.168.0.1 port 56909 ssh2

Comme vous le voyais..j'ai imité un brute force en me connectant au ssh et en donnant des mot de passe faux...mais malgré x tentative...je ne suis toujours pas banni du serveur...

Ce qui m'inquiète c'est les port de connections..sous le fichier de config j'ai juste laisse le port ssh...mais dans les log de connections il prend toujours un port aléatoire


Comment faire pour que fail2ban fasse son bouleau.. ?


Merciii smile

Dernière modification par Jordy (Le 04/10/2007, à 19:37)

Hors ligne

#2 Le 04/10/2007, à 00:25

Uggy

Re : [Resolu]Problemes avec ssh et fail2ban

-

Dernière modification par Uggy (Le 04/10/2007, à 00:25)

Hors ligne

#3 Le 04/10/2007, à 08:06

Jordy

Re : [Resolu]Problemes avec ssh et fail2ban

Es ce que tu pourrai un peu plus argumenté ta réponse ? big_smile

Hors ligne

#4 Le 04/10/2007, à 09:24

Marama

Re : [Resolu]Problemes avec ssh et fail2ban

Tu as bien redémarré fail2ban après l'avoir installé?

/etc/init.d/fail2ban restart

Pluxml - http://pluxml.org

Hors ligne

#5 Le 04/10/2007, à 13:14

Jordy

Re : [Resolu]Problemes avec ssh et fail2ban

Biensur que j'ai redemaré le serveur...et le lancement se fait correctement.

D'ailleur un /etc/init.d/fail2ban status m'indique que fail2ban est bien lancé smile

Si il vous faut d'autre indication...dites le moi smile car j'aimerao bien que cela fonctionne

Hors ligne

#6 Le 04/10/2007, à 13:31

Uggy

Re : [Resolu]Problemes avec ssh et fail2ban

Jordy a écrit :

Es ce que tu pourrai un peu plus argumenté ta réponse ? big_smile

Je m'etais trompé en voulant t'indiquer quelquechose dans mon post précédent...J'ai donc supprimé le contenu..

Par contre, sans répondre a ta question sur fail2ban, et si ton but est de sécuriser l'access SSH, je te conseille de configurer sshd pour n'authoriser que les connexions par clé. De cette manière aucune chance que qu'un puisse rentrer... et pas besoin de fail2ban...

Hors ligne

#7 Le 04/10/2007, à 18:03

Jordy

Re : [Resolu]Problemes avec ssh et fail2ban

Bah mon but n'est pas seulement de secure ssh, je voudrai secure  aussi le ftp et apache

Dernière modification par Jordy (Le 04/10/2007, à 18:04)

Hors ligne

#8 Le 04/10/2007, à 19:25

Uggy

Re : [Resolu]Problemes avec ssh et fail2ban

Jordy a écrit :

Bah mon but n'est pas seulement de secure ssh, je voudrai secure  aussi le ftp et apache

ok...

QUe donne la conf ssh qui doit etre dans /etc/fail2ban/filter.d/

A priori il créé des regles netfilter... Tu as bien netfilter ?

"sudo fail2ban-client status"  ?

Hors ligne

#9 Le 04/10/2007, à 19:36

Jordy

Re : [Resolu]Problemes avec ssh et fail2ban

En fete c'etais tout tout simple...y'avais qu'a lire dans le conf smile

Il falais que je cree un jail.local pour que tout soit pris en compte smile

En gros le jail.conf nous sert juste pour copier/coller dans le jail.local smile

Tout fonctionne smile

Hors ligne

Pages : 1