#1 Le 13/10/2012, à 23:24
- capitainabloc
fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
bonjour à tous.
je configure petit à petit mon server sous ubuntu server, et j'ai réussi à configurer les failregex de fail2ban comme je voulais.
Cependant, lorsqu'on redémarre le service fail2ban, je constate que toutes les ips bannies sont débannies, ce qui m'ennuie un peu.
Y a-t'il un moyen de bannir les anciennes entrées d'un log? c'est à dire de scanner des vieux logs avec fail2ban, et de bannir les ips des "méchants"
merci d'avance
Hors ligne
#2 Le 14/10/2012, à 00:13
- Maisondouf
Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
Est-ce pas un faux problème ?
En théorie le serveur tourne 24/7 et fail2ban aussi.
ASUS M5A88-v EVO avec AMD FX(tm)-8120 Eight-Core Processor, OS principal Precise 12.04.1 LTS 63bits½
Bricoleur, menteur, inculte, inadapté social et mythomane, enfin d'après certains....
"the secret of my form is summed up in two words, no sport" (Winston Churchill)
Hors ligne
#3 Le 14/10/2012, à 00:28
- capitainabloc
Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
un faux problème, oui mais...
si la question est posée c'est que ca peut etre intéressant.
du genre le serveur a tourné sans fail2ban, et je souhaite bannir les tentatives passées, ou bien, après avoir ajouté des jails, je redémarre le service...
Hors ligne
#4 Le 14/10/2012, à 11:01
- Pseudo supprimé
Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
Cela revient à faire une règle sur 'Ban' dans les logs.
sudo nano /etc/fail2ban/filter.d/ban.conf
# Fail2Ban configuration file
#
# Author: Nicolargo
#
[Definition]
# Option: failregex
# Filter Ban in the fail2ban.log
failregex = .*Ban\ <HOST>
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
jail.local
...
# Multi Ban
# 3 ban in 1 hour > Ban for 1 hour
[multi-ban]
enabled = true
filter = ban
logpath = /var/log/fail2ban.log
maxretry = 3
findtime = 3600
...
Source:http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html
#5 Le 14/10/2012, à 11:52
- capitainabloc
Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
ok, mais c'est pas ma question en fait.
je voudrais savoir si on peut analyser des logs existant et bannir les ip avec fail2ban. Des logs existant avant l'install de fail2ban.
Hors ligne
#6 Le 14/10/2012, à 17:38
- Pseudo supprimé
Re : fail2ban, peut-on bannir depuis les anciennes entrées d'un log?
en renseignant logpath = /var/log/target/target.log* ??
je pense que tu dois décompresser tes logs archivés.