[Linux-bruxelles] question fail2ban et recidive
Dany De Bontridder
danydb at noalyss.eu
Dim 7 Fév 09:06:30 CET 2021
Bonjour,
Le 2/7/21 à 5:34 AM, Ald0 a écrit :
> Bonjour.
>
> J'ai besoin de vos conseils, et voudrais plus particulièrement savoir si
> -d'après vous- mon jail [recidive] tourne bien comme il se doit.
> Cf. ici ma conf fail2ban personalisée + l'affichage via mon script de test.
> J'ai l'impression que qq chose ne tourne pas rond, et que ça ne bannit pas
> malgé la récidive. Merci par avance pour vos lumières !
> (...)
>
> [sshd]
> enabled = true
> port = 3022 #(par ex.)
> logpath = /var/log/auth.log
> # logpath = %(sshd_log)s #(ceci ne fonctionnant pas)
> # backend = %(ssh_backend)s #(idem, porutant lu @ doc.ubuntu-fr.org/fail2ban)
(...)
> feb 07 04:04:19 MonOrdiLinux fail2ban-client[1015]: 2021-02-07 04:04:19,900 fail2ban.server [1091]: INFO Starting Fail2ban v0.9.3
La disperson de la doc amène une perte de qualité, je préfère depuis le
site originel https://www.fail2ban.org/ , nous en somme à la version
0.11.2 La 0.9.3 date de 6 ans déjà.
> # maxretry = 5
> maxretry = 3
> bantime = 7200
>
> [recidive]
> enabled = true
> logpath = /var/log/fail2ban.log
> # banaction = %(banaction_allports)s #(ne fonctionne pas)
> banaction = iptables-allports
> bantime = 604800 ; 1 week
> findtime = 14400 ; 4 hours
> maxretry = 3
(...)
> Fail2Ban.log ...
> (...)
> 2021-02-07 04:05:20,740 fail2ban.filter [1118]: INFO [recidive] Found 221.131.165.124
> 2021-02-07 04:05:21,467 fail2ban.filter [1118]: INFO [sshd] Found 221.131.165.124
Si je comprends bien , tu souhaites bannir ceux qui ont déjà été banni
par le jail [sshd] . Le findtime de [recidive] est de 4 heures, et le
[bantime] de ssh de 2 heures, donc il faudrait que être banni par [ssh]
3 fois sur les 4 dernières heures. Il faudrait réduire le bantime de
[sshd] pour le simuler plus facilement
> <q>(pourquoi voit-on parfois unban dans les logs alors que je ne prévois
> aucun unban pour les attaquants et surtout pas les récidivistes ?)</q>
Parce qu'on est banni un certain temps, et donc quand l'IP ne l 'est
plus on a un unban, mais seulement sur la règle concernée (jail)
(...)
@+
D
--
gpg key 0x6259f36e
Alchimerys sprl http://www.alchimerys.be
Noalyss , serveur de comptabilité libre ,http://www.noalyss.eu
Plus d'informations sur la liste de diffusion Linux-bruxelles