[Linux-bruxelles] fail2ban ne fonctionne pas comme prévu
Nicolas Jungers
nicolas at jungers.net
Dim 7 Mar 18:26:01 CET 2010
On 03/07/2010 06:12 PM, Aldo wrote:
[snip]
> - j'ai mis des logpath différents pour ssh et pam,
> genre /var/log/auth_ssh.log ...
> es-ce utile, par ex. pour mieux voir les tentatives d'attaques ssh du jour ?
Ça dépend comment tu lis tes logs. Ce n'est pas comme ça que _je_ fais,
mais d'autres le font.
>
> - sinon, j'ai trouvé ceci dans /var/log/fail2ban.log:
>
> 2010-03-07 15:10:26,357 fail2ban.actions: WARNING [ssh] Ban 210.192.123.204
> 2010-03-07 15:14:05,621 fail2ban.actions: WARNING [ssh] Unban 210.192.123.204
>
> Es-ce bien une tentative ? c'est dans fail2ban.log, pas dans auth_*.log.
>
> Si je fais un nslookup ou host sur l'IP citée, elle n'existe pas ?!
nicolas at i24:/etc/modprobe.d$ whois 210.192.123.204
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 210.192.96.0 - 210.192.127.255
netname: CHINANETCENTER
N.
Plus d'informations sur la liste de diffusion Linux-bruxelles