[Linux-bruxelles] fail2ban ne fonctionne pas comme prévu

[Nicolas Jungers]

On 03/07/2010 06:12 PM, Aldo wrote:
[snip]
> - j'ai mis des logpath différents pour ssh et pam,
> genre /var/log/auth_ssh.log ...
> es-ce utile, par ex. pour mieux voir les tentatives d'attaques ssh du jour ?

Ça dépend comment tu lis tes logs. Ce n'est pas comme ça que _je_ fais, 
mais d'autres le font.

>
> - sinon, j'ai trouvé ceci dans /var/log/fail2ban.log:
>
>   2010-03-07 15:10:26,357 fail2ban.actions: WARNING [ssh] Ban 210.192.123.204
>   2010-03-07 15:14:05,621 fail2ban.actions: WARNING [ssh] Unban 210.192.123.204
>
> Es-ce bien une tentative ? c'est dans fail2ban.log, pas dans auth_*.log.
>
> Si je fais un nslookup ou host sur l'IP citée, elle n'existe pas ?!

nicolas at i24:/etc/modprobe.d$ whois 210.192.123.204
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      210.192.96.0 - 210.192.127.255
netname:      CHINANETCENTER

N.