#26 Le 21/05/2008, à 13:04
- yvan78
Re : Fail2ban inopérant et vous ?
comment envoyer un rapport de bug ???
Je pense que Ubuntu et la Launchpad sont victimes de leur succès... et qu'il y a trop de rapports de bugs... qui ne sont même plus lus. Le pire c'est que comme personne ne les lit/gère, il y a des tonnes de doublons indémerdables.
Bref, est-ce encore utile de faire des rapports de bug?
A titre perso, j'ai remplacé sous Hardy fail2ban par 2 règles iptables qui s'ajoutent à celles que Firestarter gère, sous la forme de scripts d'init. Car iptables est egalement capable de compter les tentatives de connection d'une même IP dans un temps donné et de limiter les tentatives. A titre perso, 5 tentatives par tranche de 5mn sont autorisées. A delà on bloque et il faut attendre.
L'effet est similaire à fail2ban pour un usage "domestique": En effet, cette limitation est indépendante de la réussite ou non des connections et peut donc bloquer un utilisateur qui lançerait 5 connections valides en 5mn... et serait obligé d'attendre un peu pour en lançer plus. Ou d'un groupe d'utilisateurs qui seraient derrière un même NAT donc avec la même IP.
Ca ne remplace donc pas fail2ban pour un vrai serveur: Là on continue a avoir besoin d'un niveau d'intelligence qu'iptables ne peut fournir.
A+
#27 Le 21/05/2008, à 18:40
- zeugme
Re : Fail2ban inopérant et vous ?
wow
Donc, non seulement, toute la logistique Ubuntu serait dans les choux,
mais en plus, il faudrais envisager de se faire soi même un remplacement !
<jbb enervé>
On ne va tout de même pas tous se mettre à bafouiller des scripts pour remédier au merdier !
</jbb enervé>
Si c'est vrai, c'est dingue et çà devrait remettre en question le choix d'Ubuntu chez tous les admin raisonables qui utiliseraient Ubuntu sur des machines de prod (dont moi), alors sans vouloir te vexer j'espère que t'es carrément a coté de la plaque
Hors ligne
#28 Le 22/05/2008, à 01:14
- stadrum
Re : Fail2ban inopérant et vous ?
mmmh, je confirme un problème relativement similaire :
apt-get install fail2ban
/etc/init.d/fail2ban status
==> running
reboot
/etc/init.d/fail2ban status
==> not running
/etc/init.d/fail2ban restart
==> fail
apt-get remove fail2ban
apt-get install fail2ban
/etc/init.d/fail2ban status
==> running
moralité : ne redémarrez pas !!! (en attendant que ce soit corrigé...)
Hors ligne
#29 Le 22/05/2008, à 01:27
- dude_Elinghton
Re : Fail2ban inopérant et vous ?
Bonsoir,
Assez bizarre, j'ai, d'après Iptables -L -v, fail2ban qui tourne:
~$ sudo iptables -L -vv
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 fail2ban-ssh tcp -- any any anywhere anywhere multiport dports ssh
4330 217K ACCEPT all -- lo any anywhere anywhere
48 7094 ACCEPT all -- any any localnet/24 anywhere
0 0 ACCEPT all -- any any 192.168.1.0/24 anywhere
1 159 DROP udp -- any any anywhere anywhere udp dpts:33434:33523
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 ACCEPT tcp -- wlan0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 3/sec burst 5
36 3804 ACCEPT udp -- wlan0 any anywhere anywhere limit: avg 10/sec burst 5
0 0 ACCEPT icmp -- wlan0 any anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- wlan0 any anywhere anywhere icmp echo-reply limit: avg 1/sec burst 5
37416 55M ACCEPT all -- wlan0 any anywhere anywhere state RELATED,ESTABLISHED
0 0 DROP icmp -- any any anywhere anywhere
0 0 LOG_DROP all -- any any anywhere anywhereChain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 LOG_DROP all -- any any anywhere anywhereChain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4330 217K ACCEPT all -- any lo anywhere anywhere
36 4302 ACCEPT all -- any any anywhere localnet/24
0 0 ACCEPT all -- any any anywhere 192.168.1.0/24
0 0 ACCEPT udp -- any wlan0 anywhere anywhere udp dpt:ntp
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ntp
40 2615 ACCEPT udp -- any wlan0 anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:domain
22174 1290K ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:www
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:https
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:pop3
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:imaps
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:pop3s
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ftp
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:webmin
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:microsoft-ds
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:netbios-ssn
0 0 ACCEPT udp -- any wlan0 anywhere anywhere udp dpts:netbios-ns:netbios-dgm
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:nntp
3 341 ACCEPT all -- any wlan0 anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere anywhere state NEW,RELATED,ESTABLISHED
0 0 LOG_DROP all -- any any anywhere anywhereChain LOG_DROP (3 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere LOG level alert prefix `[IPTABLES DROP]:'
0 0 DROP all -- any any anywhere anywhereChain SCANS (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,PSH,URG/FIN,PSH,URG
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
0 0 DROP tcp -- any any anywhere anywhere tcp flags:SYN,RST/SYN,RSTChain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere
Pourtant, le daemon me dit it s not running
:~$ /etc/init.d/fail2ban status
* Status of authentication failure monitor * fail2ban is not running
C'est un peu strange non?
#30 Le 22/05/2008, à 11:25
- yvan78
Re : Fail2ban inopérant et vous ?
Bonsoir,
Assez bizarre, j'ai, d'après Iptables -L -v, fail2ban qui tourne
Le démarrage plante et le demon ne tourne pas... mais selon ou s'est arrêté son démarrage, il a déjà crée son chain fail2ban dans netfilter... mais ne va jamais l'alimenter faute de scanner le /var/log/auth.log car le demon n'est pas lançé!
T'as qu'a faire qq essais de ssh (en utilisant ton IP externe allouée par le FAI à ton modem, pas via le localhost car fail2ban le filtre)... Tu verras bien que tu peux en faire indéfiniment sans te faire barrer!
#31 Le 22/05/2008, à 11:29
- yvan78
Re : Fail2ban inopérant et vous ?
j'espère que t'es carrément a coté de la plaque
Ouvre un compte launchpad et rends toi compte par toi même... Autant pisser dans un violon.
#32 Le 05/06/2008, à 11:26
- zeugme
Re : Fail2ban inopérant et vous ?
En guise de correctif, j'ai mis en place un hack bien mure (tout pouris quoi ...).
J'ai ajouté un script init (les init system V qui sont là mais plus là, merci Ubuntu qui décidément ne brille pas par sa clareté ces derniers temps).
Ce script donc, fait un apt-get remove suivi d'un apt-get install au démarrage. Comme un remove ne supprime pas les fichiers de conf, ca fonctionne mais je ne suis pas fier.
Quand la machine reboot, fail2ban est désinstallé puis réinstallé, la honte !
C'est plus la peine de se moquer de Windows avec sa registry, ses plantages, etc . Visiblement, on peut faire pareille en open source.
EDIT : bon ... c'est vrai que pour trouver un soft de la qualité de fail2ban dans "l'autre monde", faut se lever de bonne heure... Sur mon serveur de prod, je ne pourrait plus me passer de fail2ban.
Dernière modification par jbb (Le 05/06/2008, à 11:37)
Hors ligne
#33 Le 29/06/2008, à 13:56
- dude@dot.hehe
Re : Fail2ban inopérant et vous ?
hello,
Ce problème de fonctionnement est toujours en cours...
Ou c'est moi qui est loupé une mise à jour?
Hardy LBF...long bugs featuring
sudo /etc/init.d/fail2ban status
#34 Le 29/06/2008, à 14:36
- Compte anonymisé
Re : Fail2ban inopérant et vous ?
Même problème chez moi.
#35 Le 29/06/2008, à 17:41
- loicm54
Re : Fail2ban inopérant et vous ?
j'ai eu le même problème, et si je me souvient bien, un simple :
mkdir /var/run/fail2ban
resoud le problème
ubuntu 9,04 jaunty/ core2duo E8400@3.6Ghz / hd4850 Golden Sample
Hors ligne
#36 Le 29/06/2008, à 20:44
- Compte anonymisé
Re : Fail2ban inopérant et vous ?
Confirmé, fail2ban is running ! Merci loicm54 !
Dernière modification par Compte anonymisé (Le 29/06/2008, à 20:45)
#37 Le 30/06/2008, à 19:55
- #hehedotcom\'isback
Re : Fail2ban inopérant et vous ?
Confirmé, fail2ban is running ! Merci loicm54 !
Bonjour
Malgré la création du répertoire, de la désinstallation, de la purge et enfin de la réinstallation de fail2ban...
Je n'ai pas saisi pas ou le bug est résolu...
Décidément, je poisse à mort avec cette f--king distrib'
sudo /etc/init.d/fail2ban status
* Status of authentication failure monitor * fail2ban is not running
Dernière modification par #hehedotcom\'isback (Le 30/06/2008, à 20:13)
../
Hors ligne
#38 Le 09/07/2008, à 20:31
- silfeed6
Re : Fail2ban inopérant et vous ?
Pareil chez moi.
#39 Le 09/07/2008, à 22:44
- Compte anonymisé
Re : Fail2ban inopérant et vous ?
Après un nouveau test : ca replante... Ca marche seulement en recréant un répertoire, via la commande plus haute et en faisant un start à la place du status.
#40 Le 01/08/2008, à 11:22
- ArthurC
Re : Fail2ban inopérant et vous ?
la version pour intrepid marche sous hardy : http://packages.ubuntu.com/intrepid/fail2ban
ça à l'air de s'activer un peu sur lauchpad mais les vacances ne doivent pas aider : https://bugs.launchpad.net/ubuntu/hardy/+source/fail2ban/+bug/222804
Hors ligne
#41 Le 02/08/2008, à 22:58
- yvan78
Re : Fail2ban inopérant et vous ?
la version pour intrepid marche sous hardy : http://packages.ubuntu.com/intrepid/fail2ban
ça à l'air de s'activer un peu sur lauchpad mais les vacances ne doivent pas aider : https://bugs.launchpad.net/ubuntu/hardy/+source/fail2ban/+bug/222804
Pour un petit serveur perso, iptables permet de résoudre le pb. A titre perso, utilisant firestarter comme firewall de base (=> ne permettant pas des configs tordues d'iptables graphiquement, mais donnant la possibilité d'appeler en direct des hook), j'ai mis ceci dans: /etc/firestarter/user-pre
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 -j DROP
Ca barre niveau iptables (comme fail2ban) toute IP qui essaie de se connecter 5 fois en moins de 5mn (=300 secondes).
La différence avec fai2ban, c'est que ça manque un peu d'intelligence: Ca barre qqsoit le résultat de l'authentification, y compris donc un utilisateur qui ouvrirait 5 sessions légitimes!
Mais pour un serveur perso, c'est rare et ceci suffit donc...