gratifiant > linux.debian.user.french

fab (11/07/2019, 17h10)
salut la liste,

Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour
l'instant je n'ai paramétré qu'une seule prison sshd.

serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2

serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2

Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.

Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN

/var/log/fail2ban.log des Serveurs A et B sont identiques:

Stopping all jails
Jail 'sshd' stopped
Exiting Fail2ban
Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
Creating new jail 'sshd'
Jail 'sshd' uses pyinotify {}
Initiated 'pyinotify' backend
Set jail log file encoding to UTF-8
Set maxRetry = 2
Added logfile = /var/log/auth.log
Set findtime = 600
Set banTime = 600
Set maxlines = 10
Jail sshd is not a JournalFilter instance
Jail 'sshd' started

/etc/hosts.allow sur les 2 serveurs sont les même.

Bref, c'est tout pareil (à priori).

Quand je fais un ssh toto@serveurB:2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.

Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2

Quand je fais un ssh toto@serveurA:2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.

Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44 user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost=11.22.33.44 user=toto

Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.

Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!

merki,

f.
Pierre Malard (11/07/2019, 17h50)
Salut,

En supposant bien entendu que tu as installé le paquet Fail2Ban de Debian et pas un source venant du site du développeur?

Ça n?a peut-être rien à voir mais « Fail2Ban » préfère maintenant la déclaration des déclarations de taules (« jail ») dans un répertoire spécifique (« /etc/fail2ban/jail.d »). SI tu as déclaré une configuration dans le /etc/fail2ban/jail.local et qu?ilen existe une spécifique à SSH dans le /etc/fail2ban/jail.d/, je ne sais pas lequel « aura raison ».

Une autre piste pour suivre le lancement de Fail2Ban c?est de suivre son lancement dans le fichier log /var/log/syslog. Avant de voir le comportement une fois lancé, il est bon de savoir s?il n?y a pas eu un problème ? au lancement. C?est là que le lancement est suivit. Avant de voir le comportement une fois lancé, il est bon de savoir s?il n?y a pas eu un problème ? au lancement.
À ce jeu, je me suis rendu compte que certains services n?écrivent pas par défaut leurs logs dans les fichiers déclarés par défaut dans Fail2Ban. Tout ça se trouve dans les fichiers « /etc/fail2ban/path-?.conf ».

Sinon, pour savoir si Fail2Ban tourne, un simple :
# ps -ef | grep fail2ban
suffit.
[..]
Belaïd (11/07/2019, 19h20)
Salut,

Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
jails dans le même dossier ? À ta place Je ferai ça dans
/etc/fail2ban/jail.d/

Le jeu. 11 juil. 2019 17:06, fab <regnier.fab> a écrit :
[..]
Pierre Malard (11/07/2019, 20h40)
Ok, logique.

Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban?
[..]
Discussions similaires