Pages : 1
#1 Le 19/11/2013, à 19:07
- dubis22
[Resolu] Fail2ban comment le rendre plus efficace
Bonjour,
J'ai installé fail2ban qui fonctionne avec un bannissement au bout de trois mauvais mot de passe sur l’accès ssh.
Cela fonctionne si l'adresse et l'utilisateur sont 3 fois les même. Malheureusement, j'ai un petit malin qui m'attaque en force brute mais il change d'utilisateur à chaque fois et impossible de le bloquer. J'ai reproduit ce qu'il essayait de faire en me connectant sur avec mon téléphone en ssh et effectivement si je change à chaque tentative de connexion l’utilisateur je ne suis pas banni.
Comment renforcer la règle du filtre ssh ? Documentation ?
Quelqu'un peut me dire la différence entre le jail et l'action bannissement. Si j'ajoute mon petit malin comme ceci :
#sudo fail2ban-client set ssh banip 89.174.116.126
89.174.116.126
Il n’apparaît nulle part :
#sudo fail2ban-client status ssh
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 2
| `- Total failed: 14
`- action
|- Currently banned: 1
| `- IP list: 176.42.4.141
`- Total banned: 1
#sudo iptables -L fail2ban-ssh
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- asy141.asy4.tellcom.com.tr anywhere
RETURN all -- anywhere anywhere
Merci de votre aide.
Dernière modification par dubis22 (Le 20/11/2013, à 09:16)
Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.
Hors ligne
#2 Le 19/11/2013, à 19:44
- chinois02
Re : [Resolu] Fail2ban comment le rendre plus efficace
Je suis surpris, car fail2ban peut bannir sur l'IP...et non sur les nom d' utilisateur?
N'importe qui peut voir ce que tu sembles être; quelques rares seulement peuvent tâter ce que tu es. Et ces derniers n'osent contredire l'opinion du grand nombre, renforcés par toute la majesté de l'État. Machiavel-Le Prince.
Hors ligne
#3 Le 19/11/2013, à 20:06
- sinbad83
Re : [Resolu] Fail2ban comment le rendre plus efficace
Salut,
il y a une discussion intéressante sur http://stuffphilwrites.com/2013/03/perm … -fail2ban/
La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10, HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04
Hors ligne
#4 Le 19/11/2013, à 20:10
- dubis22
Re : [Resolu] Fail2ban comment le rendre plus efficace
Je pense qu'en fait je me suis peut être mal exprimer. l'adresse est la même seul le login change.
exemple de ce que j'ai essayé sans me faire bannir:
ssh user@serveur.com
user@serveur.com's password:
ssh toto@serveur.com
toto@serveur.com's password:
ssh coco@serveur.com
coco@serveur.com's password:
etc ...
Par contre si je fais
ssh user@serveur.com
user@serveur.com's password:
wrong password
user@serveur.com's password:
wrong password
user@serveur.com's password:
Je suis banni
Dernière modification par dubis22 (Le 19/11/2013, à 20:40)
Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.
Hors ligne
#5 Le 20/11/2013, à 09:15
- dubis22
Re : [Resolu] Fail2ban comment le rendre plus efficace
Bon j'ai désinstallé puis réinstallé fail2ban cela à l'air de fonctionner....
Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.
Hors ligne
#6 Le 23/11/2013, à 22:46
- Pseudo supprimé
Re : [Resolu] Fail2ban comment le rendre plus efficace
tu as la possibilité aussi de fixer dans le /etc/ssh/sshd_config
#MaxStartups 10:30:60
## 10 connexions possibles
## au dela de 10, 30% de chance qu'elles soient bloquees
## 60 connexions maxi avant bloquage total
MaxStartups 4:50:10
Pages : 1