Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

SSH et fail2ban

Lam3ch

Bonjour à toutes et à tous!

Alors voilà après plusieurs lecture de tuto, de recherche sur internet je me dis que je suis soit aveugle, soit bête (les deux?).
Je veux paramétrer une jail pour ssh. J'ai donc créé un jail.local (copie du jail.conf) pour modifier (comme l'indic tous les tutos lu jusqu'ici) la jail [SSH]. Problème je ne la trouve pas dans le fichier en question. J'ai bien la séquence ci-dessous mais pas ce que l'on peut trouver sur la doc fail2ban d'ubuntu-fr.org.

# SSH servers
#

[sshd]

port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s

Alors si une âme charitable pouvais éclairer ma lanterne se serait fort sympathique!
J'ai pensé à rajouter manuellement la jail en question :

[ssh]

enabled = true
port    = ssh,sftp
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

Mais je ne suis pas sûr que cela fonctionne au vu de ce message :

root@HOST:/etc/fail2ban# fail2ban-client status
Status
|- Number of jail:	1
`- Jail list:	sshd

Voilà merci d'avoir pris le temps de me lire.

Cordialement!

mazarini

Peut être l'absence de "enabled = true" pour les autres.

Lam3ch

Je vais tester pour voir. Mais ce que je ne comprends pas c'est que dans tout les tutos il montre les lignes de paramétrage dela jail SSH mais moi je ne l'ai même pas.

bruno

Sans doute parce que les tutos sont obsolètes et s'appliquent aux anciennes versions de fail2ban…
Sur la version que tu utilises (0.9.3 si tu es sous Ubuntu 16.04) les configurations ne font plus référence à ssh mais sshd comme le montre l’extrait du fichier jail.conf que tu as créé.

Comme indiqué dans l'en-tête du fichier /etc/fail2ban/jail.conf les réglages peuvent être faits soit dans jail.local, soit en créant des fichiers dans /etc/fail2ban/jail.d : voir le fichier dafaults-debian.conf qui doit déjà s'y trouver (sshd est activé par défaut).

Il faut effectivement ajouter :

enabled = true

dans les sections que tu veux activer, mais normalement le "jail" SSHD est activé par défaut.

Lam3ch

Bonjour (bonsoir?),
Désolé pour le temps de réponse, mais la semaine je n'ai pas vraiment une connection à proprement parler. Alors si je comprend bien la jail SSHD remplace les anciennes versions de la jail SSH?

Laurent85

Sur Ubuntu 16.04 tu n'as rien à faire d'autre qu'installer fail2ban la protection ssh est active par défaut. Purge fail2ban, puis supprime les fichiers de configuration que tu as créé ou modifié dans /etc/fail2ban s'il en reste. Utilise la commande apt purge pour désinstaller puis réinstalle.

sudo apt purge fail2ban

Lam3ch

Bonjour Laurent85, j'ai suivi ton conseil, mais après réinstalle fail2ban ne veut plus se lancer. Voici ce que j'obtiens :

● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: activating (auto-restart) (Result: exit-code) since sam. 2017-03-18 09:31:58 CET; 23ms ago
     Docs: man:fail2ban(1)
  Process: 10966 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=255)

mars 18 09:31:58 HOSTNAME systemd[1]: fail2ban.service: Control process exited, code=exited ...255
mars 18 09:31:58 HOSTNAME systemd[1]: Failed to start Fail2Ban Service.
mars 18 09:31:58 HOSTNAME systemd[1]: fail2ban.service: Unit entered failed state.
mars 18 09:31:58 HOSTNAME systemd[1]: fail2ban.service: Failed with result 'exit-code'.
Hint: Some lines were ellipsized, use -l to show in full.
dpkg: erreur de traitement du paquet fail2ban (--configure) :
 le sous-processus script post-installation installé a retourné une erreur de sortie d'état 1
Traitement des actions différées (« triggers ») pour systemd (231-9ubuntu3) ...
Des erreurs ont été rencontrées pendant l'exécution :
 fail2ban
E: Sub-process /usr/bin/dpkg returned an error code (1)

Pour information j'utilise Linux Yakketi Yak et fail2ban 0.9.5-1

Encore merci pour votre aide. En attendant je vais essayer de comprendre où cela pourrait coincer.

Laurent85

Purge fail2ban et supprime le répertoire /etc/fail2ban :

sudo apt purge fail2ban
sudo rm -r /etc/fail2ban

Puis réinstalle :

sudo apt update
sudo apt install fail2ban

En tout cas sur Xenial 16.04 ça marche de suite.

Lam3ch

Merci pour vos réponse! Laurent85 je me mets cette astuce de côté! Suite à divers installation pas propre j'ai préféré repartir à zéro et tout réinstaller. Maintenant je vais essayer de trouver un manuel pour faire fonctionner fail2ban correctement.

Encore merci pour votre aide!

Lam3ch

Il s'avère que je viens de réinstaller fail2ban. Et une fois le fichier jail.local édité rebelotte fail2ban ne veux plus se lancer. Je suis obliger de supprimer le jail.local et la ça se relance. Il doit y avoir quelque chose que je rate. Pour le moment je vais laisser comme cela puisque par défaut la jail SSHD est activé. Mais j'aimerais bien découvrir ce qui ne va pas.

bruno

Il faut nous indiquer les modifications faites dans le fichier jail.local.

Lam3ch

Salut Bruno! Je vais le recréer pour te le linker. Mais en gros j'ai juste rajouter le ligne enable = true à plusieurs jail.

Lam3ch

Voilà ce que j'avais mis dans le fichier jail.local que j'avais créer. Pour info j'ai créer ce fichier jail.local en faisant un CP du fichier jail.conf puis j'ai modifié comme suit :

# SSH servers
#

[sshd]

port    = ssh,Num_port
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
enable  = true
port    = ssh,Num_port
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

enable   = true
port     = ssh,Num_port
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

enable   = true
port     = ssh,Num_port
logpath  = %(auditd_log)s


#
# HTTP servers

bruno

C'est quoi ces Num_port dans ton fichier ?

Pourquoi actives-tu dropbear et selinux-ssh. A priori tu n'utilises ni l'un ni l'autre (dropbear est un client/serveur SSH alternatif et SELinux n'est pas installé par défaut sur Ubuntu).
Encore une fois, le "jail" sshd est activé par défaut par l’intermédiaire du fichier /etc/fail2ban/jail.d/defaults-debain.conf.
Tu peux également activer sshd-ddos, mais n'active pas des "jails" pour des services que tu n'utilises pas ! Cela va inévitablement provoquer des erreurs, entre autre parce que fail2ban ne trouvera pas les fichiers de logs.

Ton fichier de configuration doit générer une erreur : syntaxe incorrecte ou appel à des fichiers inexistants (dropbear_log, audit_log, etc.)

Une façon de voir ces erreurs et de tenter de redémarrer le service fail2ban :

sudo systemctl restart fail2ban

et en cas d'erreur de regarder les derniers logs :

sudo journalctl -xe

mazarini

enabled  = true

Edit : Voir eventuellement /var/log/fail2ban.log

Lam3ch

Bonjour, et encore merci pour le temps que vous m'accordez!

Alors le Num_port est en fait le port ssh que j'ai paramétré dans le fichier sshd_config (je n'ai pas gardé le port 22 par défaut).

Ok je comprend ce que tu veux dire. Comme dans le fichier tout était groupé sous le titre SSH, je me suis dit que tout était utile à la protection. Je ne pensais que j'activais des choses pour rien. La seule que je pourrais activer en plus est la DDoS du coup.