[Linux-bruxelles] question fail2ban et recidive

Dany De Bontridder danydb at noalyss.eu
Lun 8 Fév 10:15:18 CET 2021 

Bonjour Aldo

Le 2/8/21 à 7:49 AM, Aldo a écrit :
> Bonjour Danny.
> (...)
>>> #   maxretry = 5
>>>    maxretry = 3
>>>    bantime = 7200 
>>>
>>>    [recidive]
>>>    enabled = true
>>>    logpath = /var/log/fail2ban.log
>>> #   banaction = %(banaction_allports)s #(ne fonctionne pas)
>>>    banaction = iptables-allports
>>>    bantime = 604800  ; 1 week
>>>    findtime = 14400  ; 4 hours
>>>    maxretry = 3
>> (...)
>>> Fail2Ban.log ... 
>>> (...)
>>> 2021-02-07 04:05:20,740 fail2ban.filter         [1118]: INFO    [recidive] Found 221.131.165.124
>>> 2021-02-07 04:05:21,467 fail2ban.filter         [1118]: INFO    [sshd] Found 221.131.165.124
>  
>> Si je comprends bien , tu souhaites bannir ceux qui ont déjà été banni
>> par le jail [sshd] . 
> Oui, en cas de récidive.

S'ils sont bannis , ils ne peuvent plus essayer : ils seront bloqué par
le firewall, tu ne les verras plus, jusqu'au prochain unban


>
>> Le findtime de [recidive] est de 4 heures, et le
>> [bantime] de ssh de 2 heures, donc il faudrait que être banni par [ssh]
>> 3 fois sur les 4 dernières heures. Il faudrait réduire le bantime de
>> [sshd] pour le simuler plus facilement
> J'ai du mal à te suivre: si j'ia bien compris, si qq'un essayes 3 fois une
> session ssh, il est d'bord bannit 2 h,
> mais s'il récidive endéant les 4 h, là il est bannit pour une semaine ?

Oui c'est ce que ta config me  donne à penser , tu as un jail pour
[sshd] et un autre [recidive] pour ceux qui récidivent après avoir déjà
été banni par [sshd] , [recidive] controle le fichiers fail2ban.log.


>
>>>   <q>(pourquoi voit-on parfois  unban  dans les logs alors que je ne prévois
>>>   aucun unban pour les attaquants et surtout pas les récidivistes ?)</q>
>  
>> Parce qu'on est banni un certain temps, et donc quand l'IP ne l 'est
>> plus on a un unban, mais seulement sur la règle concernée (jail)
> Donc si je veux que ça dure, après récidive il faudrait mettre le temps de
> bannissement à deux semains ?  

Dans ce cas , si la regex est bonne , les IP qui sont régulièrement
bloquées le seront beaucoup plus longtemps, ou alors plus simple, dans
fail2ban on peut ajouter ses actions propres. J'ai des serveurs avec
plus de 1000 IP bloqués rien que pour le ssh alors que j'ai mis le
bantime à 48h, et dans ces IP je suis certain que ce sont souvent les mêmes.


> C un pue dommage qu'o ne trouve pas de template bien fait pour avoir la paix
> et pas trop laisser de tentatives aux intrus!

Les contributions ne sont pas ce que les projets libres ont en trop :-) 
On ne va pas refaire le monde , mais si les développeurs libres étaient
financièrement soutenus, comme les artistes de rue , ils pourraient
développer à s'en pèter les doigts et peu de personnes ont le temps de
bosser bénévolement, donc il y a beaucoup d'ajustements contrairement  à
des programmes fermés prêt-consommer.



(...)


bàt


D

-- 
gpg key 0x6259f36e

Alchimerys sprl http://www.alchimerys.be
Noalyss , serveur de comptabilité libre ,http://www.noalyss.eu

Plus d'informations sur la liste de diffusion Linux-bruxelles