[Resolu] fail2ban ne banni pas les IP

lifesp · Le 07/06/2024, à 18:01

Bonjour,

Je viens d'installer fail2ban sur mon serveur ubuntu car je me suis rendu compte de nombreuse tentative de bruteforce.

Pour les configuration de mon système :
Ubuntu 22.04.4 LTS
Fail2Ban v0.11.2

root@lifesp:/etc/fail2ban/jail.d# cat /etc/fail2ban/jail.d/defaults-debian.conf
[DEFAULT]
banaction = iptables-allports
maxretry = 2
findtime = 10m
bantime = 24h

[sshd]
enabled = true
port = *
logpath = /var/log/auth.log
maxretry = 2

et quand je fais :

fail2ban-regex --print-all-matched /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

J'obtiens bien les bonnes ligne du fichier auth.log qui correspond au adresse ip que je veut bannir.

Merci pour votre temps

Dernière modification par lifesp (Le 09/06/2024, à 09:53)

jplemoine · Le 07/06/2024, à 20:47

Que donne

sudo fail2ban-client status

Si ça donne sshd dans la liste

sudo fail2ban-client status sshd

iznobe · Le 07/06/2024, à 21:47

Bonjour , encore faudrait savoir quel " service " precisément est attaqué .
Ensuite , il ne suffit pas d' installer fail2ban , il faut aussi le configuré correctement ( les jails ) pour qu ' il travaille en relation avec le fichier de log du service a proteger .

C ' est un serveur quoi ?
ftp ? web ? de jeu ? d' autres trucs , lesquels ?

Dernière modification par iznobe (Le 07/06/2024, à 21:48)

lifesp · Le 07/06/2024, à 22:43

Merci pour vos réponses reactive.
Pour les commandes demander :

root@lifesp:/home/serra# fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd
root@lifesp:/home/serra# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Et c'est un serveur multimédia avec un jellyfin installé, j'ai également le port ssh ouvert pour de l'administration et dans mon auth.log j'ai de nombreux échec d'authentification sur le deamon sshd d'adresse IP qui viendrait de chine.
Je pense que ce sont pour la plupart des bot mais j'aimerais pouvoir leur compliqué la tâche même si les requêtes essaye de ce connecter en root qui est bien entendu désactivé pour les connexions.

iznobe · Le 07/06/2024, à 22:57

si le service attaqué est SSH , alors il faut configuré un jail suplementaire pour SSH , il me semble .
Voir ce qu ' en pense @jplemoine .

Ca à l' air de correspondre à l' installation par defaut .

Montre voir aussi :

cat /var/log/fail2ban.log

et

cat /etc/fail2ban/jail.local

De mon coté pour minimiser et eviter les bots qui scanne toutes les IP sur les ports connus , j ' ai planté une redirection de ports dans ma box pour mon serveur ca limite deja a ce niveau là .
Bon apres il existe aussi les scanners de ports ... mais ca fait deja moins d' attaques .

Dernière modification par iznobe (Le 07/06/2024, à 23:17)

jplemoine · Le 07/06/2024, à 23:37

Pour éviter les IP "étrangères", on peut utiliser GeoIP.
En fait, ça donne le pays de l'IP --> Si le pays est dans la liste blanche, ça accepte sinon ça bloque.

Pour fail2ban, il faut lancer la commande alors qu'il y a des erreurs d'authentification --> Les lignes "Currently failed" et "Total failed" devraient ne pas avoir 0
Attention : là, tu ne protège que le serveur ssh. Si tu veux protéger d'autres services, il faut comme l'a dit iznobe créer des prisons ("jails") supplémentaires et/ou activer certaines prisons données en exemple.
Par exemple, j'ai :apache-auth, recidive, sshd
- apache-auth : pour bloquer les authentifications coté serveur web (apache)
- sshd : le même que toi
- recidive : pour bloquer les "pénibles" : Si une IP se fait bloquer par sshd plus de n fois dans un certain temps, ça la bloque pendant 1 semaine.
---
A noter : on ne modifie pas les .conf de la racine (qui peuvent être écraser par une maj) mais les fichiers dans les répertoires xxx.d

jplemoine · Le 07/06/2024, à 23:39

A noter : le changement du port ssh par une autre valeur :
- retarde les attaques mais ne les empêche pas
- donne une sentiment de fausse sécurité
- complique la ligne de connexion

lifesp · Le 09/06/2024, à 01:08

Au final après avoir laissé le serveur tourner un bon moment je me retrouve avec plein d'Ip banni donc le fail2ban a l'air de fonctionner.
Je vous remercie pour l'intention donné à mon problème et si j'ai du temps je vais peut être un peu fouillé c'est adresse IP et les reporté sur des sites dédiés.

Ps: je suis nouveau sur ce forum et je ne sais pas comment le clôturer et je pense que je vais me créer une base de données avec c'est adresse IP pour faire des black listes si des personnes sont intéressées je pourrais les fournir.

jplemoine · Le 09/06/2024, à 04:05

lifesp a écrit :

je suis nouveau sur ce forum et je ne sais pas comment le clôturer

En fait, on ne cloture pas. On change simplement "le titre" en "[Resolu] titre" :
Donc, dans ca cas précis "fail2ban ne banni pas les IP " en "[Resolu] fail2ban ne banni pas les IP "
Pour se faire, il suffit d'éditer le 1er post de la discussion.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/06/2024, à 18:01

[Resolu] fail2ban ne banni pas les IP

#2 Le 07/06/2024, à 20:47

Re : [Resolu] fail2ban ne banni pas les IP

#3 Le 07/06/2024, à 21:47

Re : [Resolu] fail2ban ne banni pas les IP

#4 Le 07/06/2024, à 22:43

Re : [Resolu] fail2ban ne banni pas les IP

#5 Le 07/06/2024, à 22:57

Re : [Resolu] fail2ban ne banni pas les IP

#6 Le 07/06/2024, à 23:37

Re : [Resolu] fail2ban ne banni pas les IP

#7 Le 07/06/2024, à 23:39

Re : [Resolu] fail2ban ne banni pas les IP

#8 Le 09/06/2024, à 01:08

Re : [Resolu] fail2ban ne banni pas les IP

#9 Le 09/06/2024, à 04:05

Re : [Resolu] fail2ban ne banni pas les IP

Pied de page des forums