Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 19/11/2013, à 19:07

dubis22

[Resolu] Fail2ban comment le rendre plus efficace

Bonjour,

J'ai installé fail2ban qui fonctionne avec un bannissement au bout de trois mauvais mot de passe sur l’accès ssh.
Cela fonctionne si l'adresse et l'utilisateur sont 3 fois les même. Malheureusement, j'ai un petit malin qui m'attaque en force brute mais il change d'utilisateur à chaque fois et impossible de le bloquer. J'ai reproduit ce qu'il essayait de faire en me connectant sur avec mon téléphone  en ssh et effectivement si je change à chaque tentative de connexion l’utilisateur je ne suis pas banni.
Comment renforcer la règle du filtre ssh ? Documentation ?

Quelqu'un peut me dire la différence entre le jail et l'action bannissement. Si j'ajoute mon petit malin comme ceci :

#sudo fail2ban-client set ssh banip 89.174.116.126
89.174.116.126

Il  n’apparaît nulle part :

#sudo fail2ban-client status ssh
Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log 
|  |- Currently failed: 2
|  `- Total failed:     14
`- action
   |- Currently banned: 1
   |  `- IP list:       176.42.4.141 
   `- Total banned:     1

#sudo iptables -L fail2ban-ssh
Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
DROP       all  --  asy141.asy4.tellcom.com.tr  anywhere            
RETURN     all  --  anywhere             anywhere    

Merci de votre aide.

Dernière modification par dubis22 (Le 20/11/2013, à 09:16)


Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.

Hors ligne

#2 Le 19/11/2013, à 19:44

chinois02

Re : [Resolu] Fail2ban comment le rendre plus efficace

Je suis surpris, car fail2ban peut bannir sur l'IP...et non sur les nom d' utilisateur?


N'importe qui peut voir ce que tu sembles être; quelques rares seulement peuvent tâter ce que tu es. Et ces derniers n'osent contredire l'opinion du grand nombre, renforcés par toute la majesté de l'État. Machiavel-Le Prince.

Hors ligne

#3 Le 19/11/2013, à 20:06

sinbad83

Re : [Resolu] Fail2ban comment le rendre plus efficace

Salut,
il y a une discussion intéressante sur http://stuffphilwrites.com/2013/03/perm … -fail2ban/


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#4 Le 19/11/2013, à 20:10

dubis22

Re : [Resolu] Fail2ban comment le rendre plus efficace

Je pense qu'en fait je me suis peut être mal exprimer. l'adresse est la même seul le login change.

exemple de ce que j'ai essayé sans me faire bannir:

ssh user@serveur.com
user@serveur.com's password: 
ssh toto@serveur.com
toto@serveur.com's password: 
ssh coco@serveur.com
coco@serveur.com's password: 
etc ... 

Par contre si je fais

ssh user@serveur.com
user@serveur.com's password:
wrong password
user@serveur.com's password:
wrong password
user@serveur.com's password:

Je suis banni

Dernière modification par dubis22 (Le 19/11/2013, à 20:40)


Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.

Hors ligne

#5 Le 20/11/2013, à 09:15

dubis22

Re : [Resolu] Fail2ban comment le rendre plus efficace

Bon j'ai désinstallé puis réinstallé fail2ban cela à l'air de fonctionner....


Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont.

Hors ligne

#6 Le 23/11/2013, à 22:46

Pseudo supprimé

Re : [Resolu] Fail2ban comment le rendre plus efficace

tu as la possibilité aussi de fixer dans le /etc/ssh/sshd_config

#MaxStartups 10:30:60
## 10 connexions possibles
## au dela de 10, 30% de chance qu'elles soient bloquees
## 60 connexions maxi avant bloquage total

MaxStartups 4:50:10