> > Un outil de bannissement « définitif » pour ceux qui insistent
> > lourdement « multiban » répétés, basé sur l’analyse des logs de
> > Fail2ban. Vous pouvez le trouver sur l’URL suivante :
> >
> https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fail2ban/
>
> > Mais cela
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512
Pierre Malard a écrit :
> Bonjour,
Bonjour,
> Je ne sais pas si cela correspond à ce que vous cherchez mais ici
> pour les serveurs sensibles nous nous appuyons en complément de
> Fail2ban qui ne banni que les IP de façon temporaires 2
Charles Plessy a écrit :
> Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>>
>> Parce que le type est borné, que ça fait des jours que ça dure et que
>> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
>> j'ai autre chose à faire que de surveiller
Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
>
> Parce que le type est borné, que ça fait des jours que ça dure et que
> l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
> j'ai autre chose à faire que de surveiller /var/log/syslog.
Bonjour Joël,
Bonjour,
Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour
les serveurs sensibles nous nous appuyons en complément de Fail2ban qui
ne banni que les IP de façon temporaires 2 ajouts :
Un outil de bannissement « définitif » pour ceux qui insistent lourdement
« multiban »
Nisar JAGABAR a écrit :
>
> Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
> permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
> son man :
> bash# fail2ban-client set banip
>
> Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
> bash#
Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
son man :
bash# fail2ban-client set banip
Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status
Pour les
Lorsque j'interroge directement la regex, j'obtiens ceci :
Root rayleigh:[/etc/fail2ban/filter.d] > fail2ban-client get courier-tls
failregex
The following regular expression are defined:
`- [0]:
> Je n'en sais rien et c'est piégeux.
-> https://github.com/fail2ban/fail2ban/issues
NoSpam a écrit :
>
> Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>> Bonjour à tous,
> Bonjour
>
> la version de fail2ban prend
G2PC a écrit :
>
>> J'ai naturellement modifié le fichier de configuration de fail2ban et
>> cette règle est chargée.
>
>
> Si ta règle match des résultats dans les logs, je suppose que la règle
> est correcte !
> Logique ?
Il me semble. Le doute que j'ai est sur
_daemon =
Le 29/04/2020 à 11:39, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum
0.10) ?
> J'ai naturellement modifié le fichier de configuration de fail2ban et
> cette règle est chargée.
Si ta règle match des résultats dans les logs, je suppose que la règle
est correcte !
Logique ?
Par contre, personnellement, je me trompe peut être, j'ai peu confiance
en la commande reload.
NoSpam a écrit :
>
> Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
>> NoSpam a écrit :
>>> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
>>> Bonjour
>>>
>>> la version de fail2ban prend t'elle en charge ipv6 (version minimum
>>> 0.10) ?
>> Oui : 0.10.2-2.1.
>>
>>
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fail2ban
NoSpam a écrit :
>
> Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
>> Bonjour à tous,
>
> Bonjour
>
> la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Oui : 0.10.2-2.1.
Mais mon installation fail2ban traitait IPv6 depuis très longtemps
grâce à
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein
Ok, logique.
Regarde quand même le /var/log/syslog quand tu démarre Fail2Ban…
> Le 11 juil. 2019 à 19:11, Belaïd a écrit :
>
> Salut,
>
> Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
> jails dans le même dossier ? À ta place Je ferai ça dans
>
Salut,
Comme les serveurs sont identiques, pourquoi ne pas mettre la config des
jails dans le même dossier ? À ta place Je ferai ça dans
/etc/fail2ban/jail.d/
Le jeu. 11 juil. 2019 17:06, fab a écrit :
> salut la liste,
>
> Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
>
Salut,
En supposant bien entendu que tu as installé le paquet Fail2Ban de Debian et
pas un source venant du site du développeur…
Ça n’a peut-être rien à voir mais « Fail2Ban » préfère maintenant la
déclaration des déclarations de taules (« jail ») dans un répertoire spécifique
(«
Le 06/03/2019 à 08:16, Sil a écrit :
Bonjour la liste,
Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.
Extrait des log :
Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Le 17 mai 2016 à 10:15, Eric Degenetais a écrit :
>> Je pense que ce n'est pas documenté, parce que ce n'est pas prévu
>> pour ça, on imagine mal un admin envoyer les résultats à son voisin.
> bonjour,
> moi j'imagine bien, par contre, un admin prendre des vacances, avoir
> Je pense que ce n'est pas documenté, parce que ce n'est pas prévu
> pour ça, on imagine mal un admin envoyer les résultats à son voisin.
bonjour,
moi j'imagine bien, par contre, un admin prendre des vacances, avoir
une vie, toussa...donc il peut être intéressant qu'une ou plusieurs
personnes
Le 14 mai 2016 à 21:25, Jean-Marc a écrit :
> Sat, 14 May 2016 15:14:13 +0200
> merkeda...@vmail.me écrivait :
>
>> *
>> il manque un tag rtfm sur la liste ; avant toute demande, il est quant
>> même souhaîtable
Sat, 14 May 2016 15:14:13 +0200
merkeda...@vmail.me écrivait :
> *
> il manque un tag rtfm sur la liste ; avant toute demande, il est quant
> même souhaîtable de faire des recherches au préalable !
Aucun des liens ci-dessous ne
*
il manque un tag rtfm sur la liste ; avant toute demande, il est quant
même souhaîtable de faire des recherches au préalable !
En attente d'une suite favorable ?
Le 1 déc. 2015 à 17:40, Jean-Jacques Doti a écrit :
> Le 01/12/2015 14:17, andre_deb...@numericable.fr a écrit :
>> Bonjour,
>>
>> J'avais lancé un help sur ce sujet et modifié
>> jail.conf et fail.local
>>
>> Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
Le 1 déc. 2015 à 17:53, Jean-Jacques Doti a écrit :
> Le 01/12/2015 17:50, Philippe Gras a écrit :
>> Le 1 déc. 2015 à 17:40, Jean-Jacques Doti a écrit :
>>
>>> Le 01/12/2015 14:17, andre_deb...@numericable.fr a écrit :
Bonjour,
J'avais lancé un
Le 01/12/2015 17:50, Philippe Gras a écrit :
Le 1 déc. 2015 à 17:40, Jean-Jacques Doti a écrit :
Le 01/12/2015 14:17, andre_deb...@numericable.fr a écrit :
Bonjour,
J'avais lancé un help sur ce sujet et modifié
jail.conf et fail.local
Malgré, j'ai toujours ce type de message
Le 1 déc. 2015 à 18:57, andre_deb...@numericable.fr a écrit :
>> et en modifiant ou en ajoutant un filtre fail2ban spécifique
>> (les tentatives d'authentification sont alors toutes loggées,
>> mais le format est différent de ce que fail2ban recherche :
>
>> J'espère que je n'ai pas été
On Tuesday 01 December 2015 17:40:24 Jean-Jacques Doti wrote:
[cut]
> Je ne vois pas trop comment changer ce comportement facilement.
> Il doit être possible d'arriver à quelque chose d'accpetable en
> indiquant "auth_verbose=yes" dans /etc/dovecot/conf.d/10-logging.conf :
Fait.
> et en
Le 1 déc. 2015 à 15:56, andre_deb...@numericable.fr a écrit :
> On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote:
>> Le 1 déc. 2015 à 14:17, andre_deb...@numericable.fr a écrit :
>>> J'avais lancé un help sur ce sujet et modifié
>>> jail.conf et fail.local
>>> Malgré, j'ai toujours ce
On Tuesday 01 December 2015 14:28:18 Philippe Gras wrote:
> Le 1 déc. 2015 à 14:17, andre_deb...@numericable.fr a écrit :
> > J'avais lancé un help sur ce sujet et modifié
> > jail.conf et fail.local
> > Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
> > (tentatives de
Bonjour,
J'avais lancé un help sur ce sujet et modifié jail.conf et jail.local
Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
(tentatives de connexions sur des comptes mail) :
"authentication failure; logname= uid=0 euid=0 tty=dovecot
ruser=pascal.b@
Le 1 déc. 2015 à 14:17, andre_deb...@numericable.fr a écrit :
> Bonjour,
>
> J'avais lancé un help sur ce sujet et modifié
> jail.conf et fail.local
>
> Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
> (tentatives de connexions sur des comptes mail) :
>
>
Le Tue, 1 Dec 2015 14:17:43 +0100,
andre_deb...@numericable.fr a écrit :
> Bonjour,
>
> J'avais lancé un help sur ce sujet et modifié
> jail.conf et fail.local
>
> Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
> (tentatives de connexions sur des comptes mail) :
>
>
Le Tue, 1 Dec 2015 14:43:12 +0100,
Bernard Schoenacker a écrit :
> Le Tue, 1 Dec 2015 14:17:43 +0100,
> andre_deb...@numericable.fr a écrit :
>
> > Bonjour,
> >
> > J'avais lancé un help sur ce sujet et modifié
> > jail.conf et fail.local
> >
> > Malgré, j'ai
Le 01/12/2015 14:17, andre_deb...@numericable.fr a écrit :
Bonjour,
J'avais lancé un help sur ce sujet et modifié
jail.conf et fail.local
Malgré, j'ai toujours ce type de message dans mon logwatch quotidien,
(tentatives de connexions sur des comptes mail) :
"authentication failure; logname=
Bonjour,
Le mardi 10 février 2015 à 23:45, Philippe Gras a écrit :
Ma question, au fait ? Je redoute de modifier des trucs à l'arrache dans les
fichiers système, alors je préfère demander…
Elle n'est pas très claire ta question…
Je suppose que tu veux savoir si c'est propre de modifier
Merci de ne pas me répondre directement, je suis abonné à la liste.
Le mercredi 11 février 2015 à 11:30, judith a écrit :
Je vais parler tout les distrib que j'utilise. mais dans le principe,
ça reste identique. Pour installer Foremost, vous devez activer les
dépôts Universe et entrer la
Le 11 févr. 15 à 11:44, Sébastien NOBILI a écrit :
Merci de ne pas me répondre directement, je suis abonné à la liste.
Le mercredi 11 février 2015 à 11:30, judith a écrit :
Je vais parler tout les distrib que j'utilise. mais dans le
principe,
ça reste identique. Pour installer Foremost,
Le 11 févr. 15 à 12:05, Sébastien NOBILI a écrit :
Le mercredi 11 février 2015 à 11:53, Philippe Gras a écrit :
Le mercredi 11 février 2015 à 11:30, judith a écrit :
Je vais parler tout les distrib que j'utilise. mais dans le
principe,
ça reste identique. Pour installer Foremost, vous
Le mercredi 11 février 2015 à 10:22 +0100, Sébastien NOBILI a écrit :
Bonjour,
Le mardi 10 février 2015 à 23:45, Philippe Gras a écrit :
Ma question, au fait ? Je redoute de modifier des trucs à l'arrache dans les
fichiers système, alors je préfère demander…
Elle n'est pas très claire
Le mercredi 11 février 2015 à 11:53, Philippe Gras a écrit :
Le mercredi 11 février 2015 à 11:30, judith a écrit :
Je vais parler tout les distrib que j'utilise. mais dans le principe,
ça reste identique. Pour installer Foremost, vous devez activer les
dépôts Universe et entrer la ligne de
Le 11 févr. 15 à 13:00, Sébastien NOBILI a écrit :
Le mercredi 11 février 2015 à 12:37, Philippe Gras a écrit :
Ah, OK ! Comme je n'avais pas reçu le message, je n'avais pas
compris de
quoi
il retournait exactement…
Pourtant le message avait été envoyé également à la liste. Il est
Philippe Gras wrote:
Les règles sont réenregistrées autant de fois qu'il y a de
RETURN. Et ça enfle. J'ai relancé fail2ban hier soir, ce matin, j'ai
déjà quatre RETURN par règle. Ce soir, j'en aurais certainement une
bonne quarantaine... L'augmentation se fait bien un par un.
La logique
Le 17 janv. 15 à 09:47, BERTRAND Joël a écrit :
Philippe Gras wrote:
Les règles sont réenregistrées autant de fois qu'il y a de
RETURN. Et ça enfle. J'ai relancé fail2ban hier soir, ce matin,
j'ai
déjà quatre RETURN par règle. Ce soir, j'en aurais certainement une
bonne
Les règles sont réenregistrées autant de fois qu'il y a de
RETURN. Et ça enfle. J'ai relancé fail2ban hier soir, ce matin,
j'ai déjà quatre RETURN par règle. Ce soir, j'en aurais
certainement une bonne quarantaine... L'augmentation se fait bien
un par un.
La logique tient peut-être
Philippe Gras a écrit :
J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En effet,
j'ai un /29 et je subis actuellement en IPv4 des attaques sur
J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques
sur toutes les IP à un
BERTRAND Joël wrote:
Philippe Gras a écrit :
J'observe un comportement étrange sans savoir si ce comportement
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si
c'est dû à l'augmentation ces derniers jours des attaques. En effet,
j'ai un /29 et je subis actuellement en
Le 15/01/15 à 18:33, BERTRAND Joël joel.bertr...@systella.fr a écrit :
BJ Ça a rapport avec ça ?
BJ http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115
BJ
BJ Je ne sais pas. Je constate simplement...
BJ
BJ Je n'ai rien vu du tout, c'est bizarre ! Moi qui chope toutes les m…
BJ
Le 16 janv. 15 à 01:59, Daniel Caillibaud a écrit :
Le 15/01/15 à 18:33, BERTRAND Joël joel.bertr...@systella.fr a
écrit :
BJ Ça a rapport avec ça ?
BJ http://fr.reuters.com/article/topNews/idFRKBN0KO1NZ20150115
BJ
BJ Je ne sais pas. Je constate simplement...
BJ
BJ Je n'ai rien vu du
Bonsoir,
On va encore dire que ça ne répond pas au besoin de l'OP , mais :
Le 14/01/2015 22:50, BERTRAND Joël a écrit :
Bonsoir à tous,
J'ai un truc un peu bizarre avec fail2ban 0.9.1 que j'ai installé
sur un serveur. J'ai patché l'outil pour qu'il traite aussi les IPv6
Philippe Gras wrote:
Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :
Philippe Gras wrote:
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.
De fait si j'ai bien compris, elle est passée
Le 14 janv. 15 à 23:54, BERTRAND Joël a écrit :
Philippe Gras wrote:
Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :
Philippe Gras wrote:
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle
subit un
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre
la main dessus et la passer au tamis, puis la retourner à iptables avec
les IP qu'il
faut bannir.
Ça,
Philippe Gras wrote:
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre
la main dessus et la passer au
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre
la main dessus et la passer au tamis, puis la retourner à
Je crois que le RETURN, ça veut seulement dire que la règle subit un
transfert.
De fait si j'ai bien compris, elle est passée par iptables à fail2ban
qui va prendre
la main dessus et la passer au tamis, puis la retourner à iptables
avec les IP qu'il
faut bannir.
Le 14 janv. 15 à
Le 14 janv. 15 à 23:35, BERTRAND Joël a écrit :
Philippe Gras wrote:
Le 14 janv. 15 à 23:22, BERTRAND Joël a écrit :
Philippe Gras wrote:
Je crois que le RETURN, ça veut seulement dire que la règle
subit un
transfert.
De fait si j'ai bien compris, elle est passée par iptables à
Le 19/02/2013 13:52, Médor Tégé a écrit :
Bonjour,
Salut,
La configuration que j'ai pour ma jail ssh:
[ssh]
enabled = true
port = ssh,sftp
filter = sshd
action = iptables-multiport[name=SSH,port=22,protocol=tcp]
sendmail[dest=ad...@gardouille.fr,name=ssh,sender=fail2...@gardouille.fr]
#
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
Bonjour à tous,
Salut Merwin,
J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
[ssh]
enabled = true
port= ssh
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
Bonjour à tous,
Salut Merwin,
J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
Bonjour à tous,
Salut Merwin,
J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 10:14:36 Merwin, vous avez écrit :
Bonjour à tous,
Salut Merwin,
Le Sunday 25 October 2009 13:41:49 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 13:34 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 13:22:55 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 12:45 +0100, S e r g e a écrit :
Le Sunday 25 October 2009 10:14:36
Voici le retour iptables:
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-pam-generic tcp -- 0.0.0.0/00.0.0.0/0
ACCEPT all -- 0.0.0.0/00.0.0.0/0
eth0_inall -- 0.0.0.0/0
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
Donc pour résumer: CA FONCTIONNE!
Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
vers mon serveur (distant!)? Est-ce parceque je suis déjà connecté à la
machine via un autre terminal?
NOTE: le teste
Le Sunday 25 October 2009 15:30:10 Merwin, vous avez écrit :
Le dimanche 25 octobre 2009 à 15:23 +0100, S e r g e a écrit :
Donc pour résumer: CA FONCTIONNE!
Alors question: Pourquoi ça ne marche pas quand je le fais de chez moi
vers mon serveur (distant!)? Est-ce parceque je suis déjà
Hello,
Finalement, je viens de trouver la solution: installer le backport de fail2ban.
http://www.backports.org/dokuwiki/doku.php?id=instructions
Le fichier de fail2ban pour proftpd du package corrige ces problèmes.
En espérant que ça puisse en aider d'autres...
R.O.
On Wed, Feb 4, 2009 at
Salut,
Michel Grentzinger a écrit :
Je rencontre un problème avec fail2ban.
Lors de tentatives d'accès illégales en ssh, les logs de fail2ban m'indique
qu'il bannit bien l'adresse concernée :
2007-08-24 14:51:41,163 fail2ban.actions.action: DEBUG iptables -L INPUT |
grep -q fail2ban-ssh
Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit :
Mais lorsque je vérifie avec iptables -L -n, j'ai ceci :
[EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban
fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp
dpt:22
AMA il faudrait plutôt vérifier dans la
Michel Grentzinger wrote:
Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit :
Mais lorsque je vérifie avec iptables -L -n, j'ai ceci :
[EMAIL PROTECTED]:~ # iptables -L INPUT -n | grep fail2ban
fail2ban-ssh tcp -- 0.0.0.0/00.0.0.0/0 tcp
dpt:22
AMA il faudrait
ça a pas l'air mal du tout.
Par contre, j'ai résolu mon problème. C'était dans la configuration de
fail2ban. Le fichier à parcourir pour scanner les tentatives d'accès
via ssh pointait sur /var/log/sshd.log alors qu'il fallait le pointer
ver /var/log/auth.log
Merci,
Zelos
Le 26/02/07,
On 2007-02-26 12:37:45 +0100, zelos 414 wrote:
Quelqu'un pourraît-il m'indiquer la correction à apporter?
Ce serait bien de donner plus d'information, en commençant par les
versions des paquets utilisés (fail2ban et openssh-server).
J'ai l'impression que vu le fichier de config que tu donnes,
Bien vu!
merci mais je n'ai pas eu à toucher le /etc/fail2ban/filter.d/sshd.config
mais juste à renseigner le bon fichier de log de connexions ssh dans
la config de fail2ban.
Zelos
Le 27/02/07, Vincent Lefevre[EMAIL PROTECTED] a écrit :
On 2007-02-26 12:37:45 +0100, zelos 414 wrote:
Quelqu'un
On 2007-02-27 14:59:57 +0100, zelos 414 wrote:
Bien vu!
merci mais je n'ai pas eu à toucher le /etc/fail2ban/filter.d/sshd.config
mais juste à renseigner le bon fichier de log de connexions ssh dans
la config de fail2ban.
Bizarre parce que moi j'ai la bonne config par défaut (et je n'ai donc
zelos 414 wrote:
Bonjour,
Après avoir install fail2ban, je vérifie les fichiers de config et je
me rends compte que le fichier:
/etc/fail2ban/filter.d/sshd.conf
contient:
failregex = (?:(?:Authentication failure|Failed [-/\w+]+) for(?:
[iI](?:llegal|nvalid)
Le poulpe qui bloppe ! a écrit :
Pour voir ce qui est blacklisté ou non, (y'a surement mieu) :
iptables -nvL
Comme ca tu as le statut actuel de ton iptables et ses regles actives.
Merci pour vos réponses, fail2ban semble bien fonctionner ;-)
bye
--
Shams Fantar
Support Debian :
patrick heraud a écrit :
Je crois qu'il y a une petite confusion là:
- je dirais plutôt que la traduction serait aproximativement:
statut du moniteur de surveillance des échecs d'authentification: fail2ban
fonctionne
A mon sens, authentication failure signifie échecs d'authentification et est
Thomas Beugin a écrit :
Ben c'est normal...
Il est bien obligé de voir des tentative se faire pour pouvoir les
blacklister...
Si il ya pas de tentive il va pas blacklister du vents...
si ta reglé fail2ban pour bannir a 3 tentative
tu aura 3 tentative comme ca :
Dec 22 16:37:26 *
Le 22/12/06, Shams Fantar [EMAIL PROTECTED] a écrit :
Thomas Beugin a écrit :
Ben c'est normal...
Il est bien obligé de voir des tentative se faire pour pouvoir les
blacklister...
Si il ya pas de tentive il va pas blacklister du vents...
si ta reglé fail2ban pour bannir a 3 tentative
On Thu, Dec 21, 2006 at 09:45:40PM +0100, Shams Fantar wrote:
Après un /etc/init.d/fail2ban restart, j'ai fait un /etc/init.d/fail2ban
status, en voici le résultat :
Status of authentication failure monitor: fail2ban is running
Je peux donc considérer que fail2ban n'est pas actif à
Le jeudi 21 décembre 2006 22:38, patrick heraud a écrit :
On Thu, Dec 21, 2006 at 09:45:40PM +0100, Shams Fantar wrote:
Après un /etc/init.d/fail2ban restart, j'ai fait un /etc/init.d/fail2ban
status, en voici le résultat :
Status of authentication failure monitor: fail2ban is running
85 matches
Mail list logo