[Linux-bruxelles] question fail2ban et recidive

[Aldo]

Bonjour Danny.

On Sun, Feb 07, 2021 at 09:06:30AM +0100, Dany De Bontridder via Linux-bruxelles wrote:
> Le 2/7/21 à 5:34 AM, Ald0 a écrit :
[...]
> > J'ai l'impression que qq chose ne tourne pas rond, et que ça ne bannit pas
> > malgé la récidive. Merci par avance pour vos lumières ! 
> > (...)
> >
> >    [sshd]
> >    enabled = true
> >    port = 3022 #(par ex.) 
> >    logpath = /var/log/auth.log
> > #   logpath = %(sshd_log)s #(ceci ne fonctionnant pas)
> > #   backend = %(ssh_backend)s #(idem, porutant lu @ doc.ubuntu-fr.org/fail2ban)
> (...)
> > feb 07 04:04:19 MonOrdiLinux fail2ban-client[1015]: 2021-02-07 04:04:19,900 fail2ban.server         [1091]: INFO    Starting Fail2ban v0.9.3 

> La disperson de la doc amène une perte de qualité, je préfère depuis le
> site originel https://www.fail2ban.org/ , nous en sommes à la version
> 0.11.2 La 0.9.3 date de 6 ans déjà.

Je dois mettre ma distro à jour et comptais le faire dès que j'aurai un peu
libéré de l'espace sur mon ddur.

> > #   maxretry = 5
> >    maxretry = 3
> >    bantime = 7200 
> >
> >    [recidive]
> >    enabled = true
> >    logpath = /var/log/fail2ban.log
> > #   banaction = %(banaction_allports)s #(ne fonctionne pas)
> >    banaction = iptables-allports
> >    bantime = 604800  ; 1 week
> >    findtime = 14400  ; 4 hours
> >    maxretry = 3
> (...)
> > Fail2Ban.log ... 
> > (...)
> > 2021-02-07 04:05:20,740 fail2ban.filter         [1118]: INFO    [recidive] Found 221.131.165.124
> > 2021-02-07 04:05:21,467 fail2ban.filter         [1118]: INFO    [sshd] Found 221.131.165.124
 
> Si je comprends bien , tu souhaites bannir ceux qui ont déjà été banni
> par le jail [sshd] . 

Oui, en cas de récidive.

> Le findtime de [recidive] est de 4 heures, et le
> [bantime] de ssh de 2 heures, donc il faudrait que être banni par [ssh]
> 3 fois sur les 4 dernières heures. Il faudrait réduire le bantime de
> [sshd] pour le simuler plus facilement

J'ai du mal à te suivre: si j'ia bien compris, si qq'un essayes 3 fois une
session ssh, il est d'bord bannit 2 h,
mais s'il récidive endéant les 4 h, là il est bannit pour une semaine ?
 
> >   <q>(pourquoi voit-on parfois  unban  dans les logs alors que je ne prévois
> >   aucun unban pour les attaquants et surtout pas les récidivistes ?)</q>
 
> Parce qu'on est banni un certain temps, et donc quand l'IP ne l 'est
> plus on a un unban, mais seulement sur la règle concernée (jail)

Donc si je veux que ça dure, après récidive il faudrait mettre le temps de
bannissement à deux semains ?  

C un pue dommage qu'o ne trouve pas de template bien fait pour avoir la paix
et pas trop laisser de tentatives aux intrus!

Aldo.