[Linux-bruxelles] question fail2ban et recidive

Dany De Bontridder danydb at noalyss.eu
Dim 7 Fév 09:06:30 CET 2021 

Bonjour,

Le 2/7/21 à 5:34 AM, Ald0 a écrit :
> Bonjour. 
>
> J'ai besoin de vos conseils, et voudrais plus particulièrement savoir si
> -d'après vous- mon jail [recidive] tourne bien comme il se doit.
> Cf. ici ma conf fail2ban personalisée + l'affichage via mon script de test.
> J'ai l'impression que qq chose ne tourne pas rond, et que ça ne bannit pas
> malgé la récidive. Merci par avance pour vos lumières ! 
> (...)
>
>    [sshd]
>    enabled = true
>    port = 3022 #(par ex.) 
>    logpath = /var/log/auth.log
> #   logpath = %(sshd_log)s #(ceci ne fonctionnant pas)
> #   backend = %(ssh_backend)s #(idem, porutant lu @ doc.ubuntu-fr.org/fail2ban)
(...)
> feb 07 04:04:19 MonOrdiLinux fail2ban-client[1015]: 2021-02-07 04:04:19,900 fail2ban.server         [1091]: INFO    Starting Fail2ban v0.9.3 
La disperson de la doc amène une perte de qualité, je préfère depuis le
site originel https://www.fail2ban.org/ , nous en somme à la version
0.11.2 La 0.9.3 date de 6 ans déjà.
> #   maxretry = 5
>    maxretry = 3
>    bantime = 7200 
>
>    [recidive]
>    enabled = true
>    logpath = /var/log/fail2ban.log
> #   banaction = %(banaction_allports)s #(ne fonctionne pas)
>    banaction = iptables-allports
>    bantime = 604800  ; 1 week
>    findtime = 14400  ; 4 hours
>    maxretry = 3
(...)
> Fail2Ban.log ... 
> (...)
> 2021-02-07 04:05:20,740 fail2ban.filter         [1118]: INFO    [recidive] Found 221.131.165.124
> 2021-02-07 04:05:21,467 fail2ban.filter         [1118]: INFO    [sshd] Found 221.131.165.124

Si je comprends bien , tu souhaites bannir ceux qui ont déjà été banni
par le jail [sshd] . Le findtime de [recidive] est de 4 heures, et le
[bantime] de ssh de 2 heures, donc il faudrait que être banni par [ssh]
3 fois sur les 4 dernières heures. Il faudrait réduire le bantime de
[sshd] pour le simuler plus facilement


>   <q>(pourquoi voit-on parfois  unban  dans les logs alors que je ne prévois
>   aucun unban pour les attaquants et surtout pas les récidivistes ?)</q>

Parce qu'on est banni un certain temps, et donc quand l'IP ne l 'est
plus on a un unban, mais seulement sur la règle concernée (jail)

(...)


@+


D

-- 
gpg key 0x6259f36e

Alchimerys sprl http://www.alchimerys.be
Noalyss , serveur de comptabilité libre ,http://www.noalyss.eu

Plus d'informations sur la liste de diffusion Linux-bruxelles