Bonjour a tous,
j'ai installé fail2ban sur un serveur, mais j'avais l'impression que malgré la présence de tentatives d'attaques dans les logs, aucune action n'était faite (ban adresse ip via iptables, ...)
Pour en avoir le coeur net, j'ai fait volontairement quelques tests en tentant de me connecter à mon serveur depuis l'extérieur sans clef privé, ce que je n'ai pas autorisé dans la conf du serveur ssh, donc ça génère des log dans /var/log/auth.log du type :
Sep 17 15:32:16 XXXXXX sshd[2661]: reverse mapping checking getaddrinfo for reverse.xxxxxxx.xxx [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 17 15:32:16 XXXXXX sshd[2661]: Connection closed by xxx.xxx.xxx.xxx [preauth]
Sep 17 15:32:26 XXXXXX sshd[2823]: reverse mapping checking getaddrinfo for reverse.xxxxxxx.xxx [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 17 15:32:26 XXXXXX sshd[2823]: Received disconnect from xxx.xxx.xxx.xxx: 14: No supported authentication methods available [preauth]
Sep 17 15:32:37 XXXXXX sshd[2978]: reverse mapping checking getaddrinfo for reverse.xxxxxxx.xxx [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 17 15:32:37 XXXXXX sshd[2978]: Connection closed by xxx.xxx.xxx.xxx [preauth]
Or, quand je check le staus du "jail sshd" :
$ sudo fail2ban-client status ssh
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 0
| `- Total failed: 0
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 0
... ces tentatives de connexion répétées et infructueuses ne semblent pas inquiéter fail2ban, sic !!
Pour info je vous met ici le filtre utilisé pour le jail sshd (donc le fichier /etc/fail2ban/filter.d/sshd.conf) :
[Definition]
_daemon = sshd
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
ignoreregex =
c'est vraiment l'installation DE BASE (paquet) de fail2ban et pour info j'ai une Ubuntu 12.04 ... mais c'est vrai que quand je regarde ce fichier (filtre), l'expression régulière qui devrait déclencher une action pour ce genre de ligne :
Sep 17 15:32:26 XXXXXX sshd[2823]: reverse mapping checking getaddrinfo for reverse.xxxxxxx.xxx [xxx.xxx.xxx.xxx] failed - POSSIBLE BREAK-IN ATTEMPT!
Semble être :
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
Mais la regexp n'a pas l'air de "matcher" .... alors pourquoi est ce que l'installation du paquet fail2ban m'aurait mis des filtres pour sshd qui ne soient pas fonctionnels ????? Ou alors le pb vient de moi mais je ne comprends pas ce que je doit faire pour faire fonctionner correctement fail2ban .... si vous pouvez m'aider ..
merci a tous 😉
