Fail2ban inopérant et vous ?

yvan78 · Le 21/05/2008, à 13:04

madjuju a écrit :

comment envoyer un rapport de bug ???

Je pense que Ubuntu et la Launchpad sont victimes de leur succès... et qu'il y a trop de rapports de bugs... qui ne sont même plus lus. Le pire c'est que comme personne ne les lit/gère, il y a des tonnes de doublons indémerdables.
Bref, est-ce encore utile de faire des rapports de bug?

A titre perso, j'ai remplacé sous Hardy fail2ban par 2 règles iptables qui s'ajoutent à celles que Firestarter gère, sous la forme de scripts d'init. Car iptables est egalement capable de compter les tentatives de connection d'une même IP dans un temps donné et de limiter les tentatives. A titre perso, 5 tentatives par tranche de 5mn sont autorisées. A delà on bloque et il faut attendre.

L'effet est similaire à fail2ban pour un usage "domestique": En effet, cette limitation est indépendante de la réussite ou non des connections et peut donc bloquer un utilisateur qui lançerait 5 connections valides en 5mn... et serait obligé d'attendre un peu pour en lançer plus. Ou d'un groupe d'utilisateurs qui seraient derrière un même NAT donc avec la même IP.

Ca ne remplace donc pas fail2ban pour un vrai serveur: Là on continue a avoir besoin d'un niveau d'intelligence qu'iptables ne peut fournir.

A+

zeugme · Le 21/05/2008, à 18:40

wow

Donc, non seulement, toute la logistique Ubuntu serait dans les choux,
mais en plus, il faudrais envisager de se faire soi même un remplacement !

<jbb enervé>
On ne va tout de même pas tous se mettre à bafouiller des scripts pour remédier au merdier !
</jbb enervé>

Si c'est vrai, c'est dingue et çà devrait remettre en question le choix d'Ubuntu chez tous les admin raisonables qui utiliseraient Ubuntu sur des machines de prod (dont moi), alors sans vouloir te vexer j'espère que t'es carrément a coté de la plaque

stadrum · Le 22/05/2008, à 01:14

mmmh, je confirme un problème relativement similaire :

apt-get install fail2ban
/etc/init.d/fail2ban status
==> running

reboot
/etc/init.d/fail2ban status
==> not running

/etc/init.d/fail2ban restart
==> fail

apt-get remove fail2ban
apt-get install fail2ban
/etc/init.d/fail2ban status
==> running

moralité : ne redémarrez pas !!! (en attendant que ce soit corrigé...)

dude_Elinghton · Le 22/05/2008, à 01:27

Bonsoir,

Assez bizarre, j'ai, d'après Iptables -L -v, fail2ban qui tourne:

iptables dans un grand moment de bonté a écrit :

~$ sudo iptables -L -vv
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 fail2ban-ssh tcp -- any any anywhere anywhere multiport dports ssh
4330 217K ACCEPT all -- lo any anywhere anywhere
48 7094 ACCEPT all -- any any localnet/24 anywhere
0 0 ACCEPT all -- any any 192.168.1.0/24 anywhere
1 159 DROP udp -- any any anywhere anywhere udp dpts:33434:33523
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 ACCEPT tcp -- wlan0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 3/sec burst 5
36 3804 ACCEPT udp -- wlan0 any anywhere anywhere limit: avg 10/sec burst 5
0 0 ACCEPT icmp -- wlan0 any anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- wlan0 any anywhere anywhere icmp echo-reply limit: avg 1/sec burst 5
37416 55M ACCEPT all -- wlan0 any anywhere anywhere state RELATED,ESTABLISHED
0 0 DROP icmp -- any any anywhere anywhere
0 0 LOG_DROP all -- any any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 LOG_DROP all -- any any anywhere anywhere
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4330 217K ACCEPT all -- any lo anywhere anywhere
36 4302 ACCEPT all -- any any anywhere localnet/24
0 0 ACCEPT all -- any any anywhere 192.168.1.0/24
0 0 ACCEPT udp -- any wlan0 anywhere anywhere udp dpt:ntp
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ntp
40 2615 ACCEPT udp -- any wlan0 anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:domain
22174 1290K ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:www
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:https
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:pop3
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:imaps
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:pop3s
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ftp
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:webmin
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:microsoft-ds
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:netbios-ssn
0 0 ACCEPT udp -- any wlan0 anywhere anywhere udp dpts:netbios-ns:netbios-dgm
0 0 ACCEPT tcp -- any wlan0 anywhere anywhere tcp dpt:nntp
3 341 ACCEPT all -- any wlan0 anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere anywhere state NEW,RELATED,ESTABLISHED
0 0 LOG_DROP all -- any any anywhere anywhere
Chain LOG_DROP (3 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- any any anywhere anywhere LOG level alert prefix `[IPTABLES DROP]:'
0 0 DROP all -- any any anywhere anywhere
Chain SCANS (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,PSH,URG/FIN,PSH,URG
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
0 0 DROP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
0 0 DROP tcp -- any any anywhere anywhere tcp flags:SYN,RST/SYN,RST
Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- any any anywhere anywhere

Pourtant, le daemon me dit it s not running

:~$ /etc/init.d/fail2ban status
 * Status of authentication failure monitor                                      *  fail2ban is not running

C'est un peu strange non?

yvan78 · Le 22/05/2008, à 11:25

dude_Elinghton a écrit :

Bonsoir,
Assez bizarre, j'ai, d'après Iptables -L -v, fail2ban qui tourne

Le démarrage plante et le demon ne tourne pas... mais selon ou s'est arrêté son démarrage, il a déjà crée son chain fail2ban dans netfilter... mais ne va jamais l'alimenter faute de scanner le /var/log/auth.log car le demon n'est pas lançé!

T'as qu'a faire qq essais de ssh (en utilisant ton IP externe allouée par le FAI à ton modem, pas via le localhost car fail2ban le filtre)... Tu verras bien que tu peux en faire indéfiniment sans te faire barrer!

yvan78 · Le 22/05/2008, à 11:29

jbb a écrit :

j'espère que t'es carrément a coté de la plaque

Ouvre un compte launchpad et rends toi compte par toi même... Autant pisser dans un violon.

zeugme · Le 05/06/2008, à 11:26

En guise de correctif, j'ai mis en place un hack bien mure (tout pouris quoi ...).

J'ai ajouté un script init (les init system V qui sont là mais plus là, merci Ubuntu qui décidément ne brille pas par sa clareté ces derniers temps).
Ce script donc, fait un apt-get remove suivi d'un apt-get install au démarrage. Comme un remove ne supprime pas les fichiers de conf, ca fonctionne mais je ne suis pas fier.
Quand la machine reboot, fail2ban est désinstallé puis réinstallé, la honte !

C'est plus la peine de se moquer de Windows avec sa registry, ses plantages, etc . Visiblement, on peut faire pareille en open source.

EDIT : bon ... c'est vrai que pour trouver un soft de la qualité de fail2ban dans "l'autre monde", faut se lever de bonne heure... Sur mon serveur de prod, je ne pourrait plus me passer de fail2ban.

Dernière modification par jbb (Le 05/06/2008, à 11:37)

dude@dot.hehe · Le 29/06/2008, à 13:56

hello,

Ce problème de fonctionnement est toujours en cours...
Ou c'est moi qui est loupé une mise à jour?

Hardy LBF...long bugs featuring

sudo /etc/init.d/fail2ban status

Compte anonymisé · Le 29/06/2008, à 14:36

Même problème chez moi.

loicm54 · Le 29/06/2008, à 17:41

j'ai eu le même problème, et si je me souvient bien, un simple :

mkdir /var/run/fail2ban

resoud le problème

Compte anonymisé · Le 29/06/2008, à 20:44

Confirmé, fail2ban is running ! Merci loicm54 !

Dernière modification par Compte anonymisé (Le 29/06/2008, à 20:45)

#hehedotcom\'isback · Le 30/06/2008, à 19:55

Maeda a écrit :

Confirmé, fail2ban is running ! Merci loicm54 !

Bonjour

Malgré la création du répertoire, de la désinstallation, de la purge et enfin de la réinstallation de fail2ban...
Je n'ai pas saisi pas ou le bug est résolu...

Décidément, je poisse à mort avec cette f--king distrib'

sudo /etc/init.d/fail2ban status
 * Status of authentication failure monitor                                      *  fail2ban is not running

Dernière modification par #hehedotcom\'isback (Le 30/06/2008, à 20:13)

silfeed6 · Le 09/07/2008, à 20:31

Pareil chez moi.

Compte anonymisé · Le 09/07/2008, à 22:44

Après un nouveau test : ca replante... Ca marche seulement en recréant un répertoire, via la commande plus haute et en faisant un start à la place du status.

ArthurC · Le 01/08/2008, à 11:22

la version pour intrepid marche sous hardy : http://packages.ubuntu.com/intrepid/fail2ban

ça à l'air de s'activer un peu sur lauchpad mais les vacances ne doivent pas aider : https://bugs.launchpad.net/ubuntu/hardy/+source/fail2ban/+bug/222804

yvan78 · Le 02/08/2008, à 22:58

ArthurC a écrit :

la version pour intrepid marche sous hardy : http://packages.ubuntu.com/intrepid/fail2ban
ça à l'air de s'activer un peu sur lauchpad mais les vacances ne doivent pas aider : https://bugs.launchpad.net/ubuntu/hardy/+source/fail2ban/+bug/222804

Pour un petit serveur perso, iptables permet de résoudre le pb. A titre perso, utilisant firestarter comme firewall de base (=> ne permettant pas des configs tordues d'iptables graphiquement, mais donnant la possibilité d'appeler en direct des hook), j'ai mis ceci dans: /etc/firestarter/user-pre

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 -j DROP

Ca barre niveau iptables (comme fail2ban) toute IP qui essaie de se connecter 5 fois en moins de 5mn (=300 secondes).

La différence avec fai2ban, c'est que ça manque un peu d'intelligence: Ca barre qqsoit le résultat de l'authentification, y compris donc un utilisateur qui ouvrirait 5 sessions légitimes!

Mais pour un serveur perso, c'est rare et ceci suffit donc...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 21/05/2008, à 13:04

Re : Fail2ban inopérant et vous ?

#27 Le 21/05/2008, à 18:40

Re : Fail2ban inopérant et vous ?

#28 Le 22/05/2008, à 01:14

Re : Fail2ban inopérant et vous ?

#29 Le 22/05/2008, à 01:27

Re : Fail2ban inopérant et vous ?

#30 Le 22/05/2008, à 11:25

Re : Fail2ban inopérant et vous ?

#31 Le 22/05/2008, à 11:29

Re : Fail2ban inopérant et vous ?

#32 Le 05/06/2008, à 11:26

Re : Fail2ban inopérant et vous ?

#33 Le 29/06/2008, à 13:56

Re : Fail2ban inopérant et vous ?

#34 Le 29/06/2008, à 14:36

Re : Fail2ban inopérant et vous ?

#35 Le 29/06/2008, à 17:41

Re : Fail2ban inopérant et vous ?

#36 Le 29/06/2008, à 20:44

Re : Fail2ban inopérant et vous ?

#37 Le 30/06/2008, à 19:55

Re : Fail2ban inopérant et vous ?

#38 Le 09/07/2008, à 20:31

Re : Fail2ban inopérant et vous ?

#39 Le 09/07/2008, à 22:44

Re : Fail2ban inopérant et vous ?

#40 Le 01/08/2008, à 11:22

Re : Fail2ban inopérant et vous ?

#41 Le 02/08/2008, à 22:58

Re : Fail2ban inopérant et vous ?

Pied de page des forums