Re: fail2ban et sshd [Résolu]
ça a pas l'air mal du tout. Par contre, j'ai résolu mon problème. C'était dans la configuration de fail2ban. Le fichier à parcourir pour scanner les tentatives d'accès via ssh pointait sur /var/log/sshd.log alors qu'il fallait le pointer ver /var/log/auth.log Merci, Zelos Le 26/02/07, krusaf[EMAIL PROTECTED] a écrit : zelos 414 wrote: Bonjour, Après avoir install fail2ban, je vérifie les fichiers de config et je me rends compte que le fichier: /etc/fail2ban/filter.d/sshd.conf contient: failregex = (?:(?:Authentication failure|Failed [-/\w+]+) for(?: [iI](?:llegal|nvalid) user)?|[Ii](?:llegal|nvalid) user |ROOT LOGIN REFUSED) .*(?: from|FROM) HOST Or, ça ne me semble pas coincider avec les logs présents dans /var/log/auth.log grep sshd /var/log/auth.log Feb 25 07:55:37 jupiter sshd[22844]: Invalid user test from 61.182.211.181 Feb 25 09:53:48 jupiter sshd[29984]: Invalid user test from 61.136.143.177 Feb 25 09:53:57 jupiter sshd[29991]: Invalid user guest from 61.136.143.177 Feb 25 09:54:08 jupiter sshd[3]: Invalid user admin from 61.136.143.177 Ce qui explique peut-être que fail2ban ne fonctionne guèe pour les tentatives d'effraction ssh chez moi. Quelqu'un pourraît-il m'indiquer la correction à apporter? Merci pour vos réponses, Zelos apt-get install denyhost ^^ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban et sshd
On 2007-02-26 12:37:45 +0100, zelos 414 wrote: Quelqu'un pourraît-il m'indiquer la correction à apporter? Ce serait bien de donner plus d'information, en commençant par les versions des paquets utilisés (fail2ban et openssh-server). J'ai l'impression que vu le fichier de config que tu donnes, tu utilises un fail2ban récent (= 0.7 d'après le fichier NEWS), mais que tu utilises un ancien serveur SSH (avec la version 4.3p2-8 de testing, les messages dans auth.log sont différents ici). Alors c'est sûr, avec la config par défaut de fail2ban, ça risque de ne pas marcher. Donc deux solutions: 1. Tu mets à jour tes paquets de façon cohérente, auquel cas tu peux probablement garder la config par défaut. 2. Tu adaptes la config de fail2ban (ce que Debian fournit, c'est juste une config par défaut, censée marcher dans les cas standard, ensuite l'utilisateur fait ce qu'il veut avec). -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban et sshd
Bien vu! merci mais je n'ai pas eu à toucher le /etc/fail2ban/filter.d/sshd.config mais juste à renseigner le bon fichier de log de connexions ssh dans la config de fail2ban. Zelos Le 27/02/07, Vincent Lefevre[EMAIL PROTECTED] a écrit : On 2007-02-26 12:37:45 +0100, zelos 414 wrote: Quelqu'un pourraît-il m'indiquer la correction à apporter? Ce serait bien de donner plus d'information, en commençant par les versions des paquets utilisés (fail2ban et openssh-server). J'ai l'impression que vu le fichier de config que tu donnes, tu utilises un fail2ban récent (= 0.7 d'après le fichier NEWS), mais que tu utilises un ancien serveur SSH (avec la version 4.3p2-8 de testing, les messages dans auth.log sont différents ici). Alors c'est sûr, avec la config par défaut de fail2ban, ça risque de ne pas marcher. Donc deux solutions: 1. Tu mets à jour tes paquets de façon cohérente, auquel cas tu peux probablement garder la config par défaut. 2. Tu adaptes la config de fail2ban (ce que Debian fournit, c'est juste une config par défaut, censée marcher dans les cas standard, ensuite l'utilisateur fait ce qu'il veut avec). -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: fail2ban et sshd
On 2007-02-27 14:59:57 +0100, zelos 414 wrote: Bien vu! merci mais je n'ai pas eu à toucher le /etc/fail2ban/filter.d/sshd.config mais juste à renseigner le bon fichier de log de connexions ssh dans la config de fail2ban. Bizarre parce que moi j'ai la bonne config par défaut (et je n'ai donc rien eu à modifier): [ssh] enabled = true port= ssh filter = sshd logpath = /var/log/auth.log maxretry = 6 dans la 0.7.5-2, et [ssh] enabled = true port= ssh,sftp filter = sshd logpath = /var/log/auth.log maxretry = 6 dans la 0.7.7-1. -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
fail2ban et sshd
Bonjour, Après avoir install fail2ban, je vérifie les fichiers de config et je me rends compte que le fichier: /etc/fail2ban/filter.d/sshd.conf contient: failregex = (?:(?:Authentication failure|Failed [-/\w+]+) for(?: [iI](?:llegal|nvalid) user)?|[Ii](?:llegal|nvalid) user |ROOT LOGIN REFUSED) .*(?: from|FROM) HOST Or, ça ne me semble pas coincider avec les logs présents dans /var/log/auth.log grep sshd /var/log/auth.log Feb 25 07:55:37 jupiter sshd[22844]: Invalid user test from 61.182.211.181 Feb 25 09:53:48 jupiter sshd[29984]: Invalid user test from 61.136.143.177 Feb 25 09:53:57 jupiter sshd[29991]: Invalid user guest from 61.136.143.177 Feb 25 09:54:08 jupiter sshd[3]: Invalid user admin from 61.136.143.177 Ce qui explique peut-être que fail2ban ne fonctionne guèe pour les tentatives d'effraction ssh chez moi. Quelqu'un pourraît-il m'indiquer la correction à apporter? Merci pour vos réponses, Zelos
Re: fail2ban et sshd
zelos 414 wrote: Bonjour, Après avoir install fail2ban, je vérifie les fichiers de config et je me rends compte que le fichier: /etc/fail2ban/filter.d/sshd.conf contient: failregex = (?:(?:Authentication failure|Failed [-/\w+]+) for(?: [iI](?:llegal|nvalid) user)?|[Ii](?:llegal|nvalid) user |ROOT LOGIN REFUSED) .*(?: from|FROM) HOST Or, ça ne me semble pas coincider avec les logs présents dans /var/log/auth.log grep sshd /var/log/auth.log Feb 25 07:55:37 jupiter sshd[22844]: Invalid user test from 61.182.211.181 Feb 25 09:53:48 jupiter sshd[29984]: Invalid user test from 61.136.143.177 Feb 25 09:53:57 jupiter sshd[29991]: Invalid user guest from 61.136.143.177 Feb 25 09:54:08 jupiter sshd[3]: Invalid user admin from 61.136.143.177 Ce qui explique peut-être que fail2ban ne fonctionne guèe pour les tentatives d'effraction ssh chez moi. Quelqu'un pourraît-il m'indiquer la correction à apporter? Merci pour vos réponses, Zelos apt-get install denyhost ^^ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]