• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Salut
Je ne sais pas trop , pas de message d'erreur quand tu restarts ? Quand tu dis que /var/log/fail2ban.log est vide, tu parles des traces de ban ou "vide de chez vide" sans même les traces du restart ?

L'install' de fail2ban ne prends pas longtemps donc peut-être plus simple de supprimer et de reprendre le tuto 
apt-get remove --purge fail2ban
http://mondedie.fr/d/5318/2
Ex.
J'ai réinstallé Fail2Ban, même problème.

Ça doit venir de la configuration, parce que les entrées dans le log s'arrêtent quand je modifie /etc/fail2ban/jail.local.
Quand je remets la config par défaut, ça remarche.

2015-09-14 14:55:47,804 fail2ban.server [22262]: INFO    Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.13
2015-09-14 14:55:47,806 fail2ban.jail   [22262]: INFO    Creating new jail 'ssh'
2015-09-14 14:55:47,894 fail2ban.jail   [22262]: INFO    Jail 'ssh' uses pyinotify
2015-09-14 14:55:47,986 fail2ban.jail   [22262]: INFO    Initiated 'pyinotify' backend
2015-09-14 14:55:47,990 fail2ban.filter [22262]: INFO    Added logfile = /var/log/auth.log
2015-09-14 14:55:47,994 fail2ban.filter [22262]: INFO    Set maxRetry = 6
2015-09-14 14:55:47,998 fail2ban.filter [22262]: INFO    Set findtime = 600
2015-09-14 14:55:48,000 fail2ban.actions[22262]: INFO    Set banTime = 600
2015-09-14 14:55:48,173 fail2ban.jail   [22262]: INFO    Jail 'ssh' started
2015-09-14 15:01:56,132 fail2ban.server [22262]: INFO    Stopping all jails
2015-09-14 15:01:56,665 fail2ban.jail   [22262]: INFO    Jail 'ssh' stopped
2015-09-14 15:01:56,667 fail2ban.server [22262]: INFO    Exiting Fail2ban

Le contenu de /etc/fail2ban/jail.local :
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# Comments: use '#' for comment lines and ';' for inline comments
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8 <IP>

# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =

# "bantime" is the number of seconds that a host is banned.
bantime  = 6000

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
maxretry = 3

# "backend" specifies the backend used to get files modification.
# Available options are "pyinotify", "gamin", "polling" and "auto".
# This option can be overridden in each jail as well.
#
# pyinotify: requires pyinotify (a file alteration monitor) to be installed.
#            If pyinotify is not installed, Fail2ban will use auto.
# gamin:     requires Gamin (a file alteration monitor) to be installed.
#            If Gamin is not installed, Fail2ban will use auto.
# polling:   uses a polling algorithm which does not require external libraries.
# auto:      will try to use the following backends, in order:
#            pyinotify, gamin, polling.
backend = auto

# "usedns" specifies if jails should trust hostnames in logs,
#   warn when reverse DNS lookups are performed, or ignore all hostnames in logs
#
# yes:   if a hostname is encountered, a reverse DNS lookup will be performed.
# warn:  if a hostname is encountered, a reverse DNS lookup will be performed,
#        but it will be logged as a warning.
# no:    if a hostname is encountered, will not be used for banning,
#        but it will be logged as info.
usedns = warn

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root

#
# Name of the sender for mta actions
sendername = Fail2Ban

# Email address of the sender
sender = fail2ban@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s", sendername="%(sendername)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", sendername="%(sendername)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh,<port>
filter   = sshd
logpath  = /var/log/auth.log
bantime = 6000
banaction = iptables-multiport
maxretry = 3

[dropbear]

enabled  = false
port     = ssh
filter   = dropbear
logpath  = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled  = false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6


# Here we use blackhole routes for not requiring any additional kernel support
# to store large volumes of banned IPs

[ssh-route]

enabled = false
filter = sshd
action = route
logpath = /var/log/sshd.log
maxretry = 6

# Here we use a combination of Netfilter/Iptables and IPsets
# for storing large volumes of banned IPs
#
# IPset comes in two versions. See ipset -V for which one to use
# requires the ipset package and kernel support.
[ssh-iptables-ipset4]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto4
logpath  = /var/log/sshd.log
maxretry = 6

[ssh-iptables-ipset6]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto6
logpath  = /var/log/sshd.log
maxretry = 6


#
# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

[apache-modsecurity]

enabled  = false
filter   = apache-modsecurity
port     = http,https
logpath  = /var/log/apache*/*error.log
maxretry = 2

[apache-nohome]

enabled  = false
filter   = apache-nohome
port     = http,https
logpath  = /var/log/apache*/*error.log
maxretry = 2

# Ban attackers that try to use PHP's URL-fopen() functionality
# through GET/POST variables. - Experimental, with more than a year
# of usage in production environments.

[php-url-fopen]

enabled = false
port    = http,https
filter  = php-url-fopen
logpath = /var/www/*/logs/access_log

# A simple PHP-fastcgi jail which works with lighttpd.
# If you run a lighttpd server, then you probably will
# find these kinds of messages in your error_log:
#   ALERT – tried to register forbidden variable ‘GLOBALS’
#   through GET variables (attacker '1.2.3.4', file '/var/www/default/htdocs/index.php')

[lighttpd-fastcgi]

enabled = false
port    = http,https
filter  = lighttpd-fastcgi
logpath = /var/log/lighttpd/error.log

# Same as above for mod_auth
# It catches wrong authentifications

[lighttpd-auth]

enabled = false
port    = http,https
filter  = suhosin
logpath = /var/log/lighttpd/error.log

[nginx-http-auth]

enabled = false
filter  = nginx-http-auth
port    = http,https
logpath = /var/log/nginx/error.log

[nginx-auth]
enabled  = true
port  = http,https
filter   = nginx-auth
logpath  = /var/log/nginx/*error.log
banaction = iptables-multiport
bantime = 6000
maxretry = 3

[nginx-badbots]
enabled  = true
port  = http,https
filter = nginx-badbots
logpath = /var/log/nginx/*access.log
bantime = -1
banaction = iptables-multiport
maxretry = 2

# Monitor roundcube server

[roundcube-auth]

enabled  = false
filter   = roundcube-auth
port     = http,https
logpath  = /var/log/roundcube/userlogins


[sogo-auth]

enabled  = false
filter   = sogo-auth
port     = http, https
# without proxy this would be:
# port    = 20000
logpath  = /var/log/sogo/sogo.log


#
# FTP servers
#

[vsftpd]

enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
bantime = 6000
banaction = iptables-multiport
maxretry = 3


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[pure-ftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/syslog
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/syslog
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp,submission
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = postfix-sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log

# To log wrong MySQL access attempts add to /etc/my.cnf:
# log-error=/var/log/mysqld.log
# log-warning = 2
[mysqld-auth]

enabled  = false
filter   = mysqld-auth
port     = 3306
logpath  = /var/log/mysqld.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

[freeswitch]

enabled  = false
filter   = freeswitch
logpath  = /var/log/freeswitch.log
maxretry = 10
action   = iptables-multiport[name=freeswitch-tcp, port="5060,5061,5080,5081", protocol=tcp]
           iptables-multiport[name=freeswitch-udp, port="5060,5061,5080,5081", protocol=udp]

[ejabberd-auth]

enabled  = false
filter   = ejabberd-auth
port     = xmpp-client
protocol = tcp
logpath  = /var/log/ejabberd/ejabberd.log


# Multiple jails, 1 per protocol, are necessary ATM:
# see https://github.com/fail2ban/fail2ban/issues/37
[asterisk-tcp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = tcp
logpath  = /var/log/asterisk/messages

[asterisk-udp]

enabled  = false
filter	 = asterisk
port     = 5060,5061
protocol = udp
logpath  = /var/log/asterisk/messages


# Jail for more extended banning of persistent abusers
# !!! WARNING !!!
#   Make sure that your loglevel specified in fail2ban.conf/.local
#   is not at DEBUG level -- which might then cause fail2ban to fall into
#   an infinite loop constantly feeding itself with non-informative lines
[recidive]

enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

# See the IMPORTANT note in action.d/blocklist_de.conf for when to
# use this action
#
# Report block via blocklist.de fail2ban reporting service API
# See action.d/blocklist_de.conf for more information
[ssh-blocklist]

enabled  = false
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest="%(destemail)s", sender="%(sender)s", sendername="%(sendername)s"]
           blocklist_de[email="%(sender)s", apikey="xxxxxx", service="%(filter)s"]
logpath  = /var/log/sshd.log
maxretry = 20


# consider low maxretry and a long bantime
# nobody except your own Nagios server should ever probe nrpe
[nagios]
enabled  = false
filter   = nagios
action   = iptables[name=Nagios, port=5666, protocol=tcp]
           sendmail-whois[name=Nagios, dest="%(destemail)s", sender="%(sender)s", sendername="%(sendername)s"]
logpath  = /var/log/messages     ; nrpe.cfg may define a different log_facility
maxretry = 1

EDIT : Apparemment ça venait de vsftpd qui était mal configuré.

Merci
Bonjour,

petite question : suis je le seul ici avoir régulièrement dans mes logwatch les lignes suivantes ? 
  /rutorrent/: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861752: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861753: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861754: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861755: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861756: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861757: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861758: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861759: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861760: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861761: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861762: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861763: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861764: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861765: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861766: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861767: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861768: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861769: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861770: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861771: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861772: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861773: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861774: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861775: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861776: 1 Time(s)
       /rutorrent/plugins/diskspace/action.php?_=1441918861777: 1 Time(s)
       ...
et ça continue comme ça souvent sur plusieurs pages...

une idée?

Merci d'avance
@Oyster Tant mieux si c'est réglé parce que je ne voyais rien de bizarre dans le fichier donc c'était un peu inquiétant

@gormson J'ai jamais eu ça dans mes logwatch, je ne sais pas trop....
Ex.
7 jours plus tard
Plop,

Je suis bloqué dès le début sans réellement savoir pourquoi..
Après l'installation des paquets, et le premier test mail ... Je ne reçois rien du tout.

Sous le VPS Dedizones, je suis même obligé de relancer la machine car sinon j'ai un message d'erreur. Des idées?
Bonjour, quand je me connecte sur un vpn sur mon ordinateur et que je me déconnecte, je suis viré de mon serveur.
Je ne vois pas comment voir ce qui me vire. Fail2ban, rkunther, etc. 
nano /etc/hosts.deny ou
route del -host IP reject
Trouve pas mon ip.

J'ai toujours sur mon pc filezilla avec des fichiers en cours d'édition (juste ouvert avec notepad++ sans télécharger), rutorrent ouvert et putty en ssh.

Je n'ai jamais recu un mail avec fail2ban mais je viens de voir que je n'avais pas Logwatch. Je viens de le réinstaller. J'ai fais l'installation par le script de rutorrent.

Je suis sous fish et j'ai remplacé les root par mon adresse mail. Je viens de recevoir un de logwatch. Comment faire pour avoir root: email fonctionnant comme pour bash.
7 jours plus tard
Bonsoir,

Lorsqu'on lance la commande :
apt-get install -f postfix mailutils
Un GUI appararaît. J'avais déduit que la configuration "par défaut" était "no configuration" mais vu que je n'ai pas eu de demande de serveur, j'ai du me planter quelque part. J'ai donc voulu supprimer postfix et mailutils via apt-get autoremove postfix et apt-get autoremove mailutils mais lorsque je relance la commande apt-get install -f postfix mailutils, je n'ai plus de GUI donc plus de possibilité de choisir le type d'install.

Merci d'avance pour le coup de main
Salut
Le fichier de conf est surement resté en place, pour relancer: 
dpkg-reconfigure postfix
Tu devrais avoir le truc.

Il ya quelques soucis de conf du tuto avec Logwatch/Postfix sous Jessie apparemment, j'ai pas eu le temps de revoir la conf encore, y'a déjà eu ça comme remonté de soluce: http://mondedie.fr/d/5304/1441
Si pas de mail faudra attendre que je regarde (sans garanti comme toujours) ou chercher !
Ex.
Je viens de tester le tuto pour Postfix et Logwatch.
Aucun soucis de mon coté avec Jessie, les mails partent bien, aussi bien en: 
echo 'Salut, je suis un email.' | mail -s 'Hello world'  pinocchio@dtc.org
qu'avec: 
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
Et le mail de Logwatch est complet et conforme aussi
Reste à vérifier de votre coté le réglage de la distante chaise clavier qui peut jouer des tours ^^
Ex.
Personnellement j'ai laissé par défaut postfix, et je n'ai aucun mail qui s'envoie.
Aussi bien avant ou après la modification bashrc.

Et oui j'ai bien verifié

Donc si tu as besoin de vérifier quoi que ce soit, fais moi signe je jouerais le cobaye.
Il y a surement une erreur quelque part, je vois d'autre soluce
Je viens de tester le mail sur connexion root
(faut rebooter ou juste relancer le truc après modif) 
. ~/.bashrc
et le mail arrive bien (en spam mais c'est normal ça)
Je sais pas quoi te dire là
edit: t'as testé avec une autre adresse mail ?
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
Moi ca ne marche pas donc j'ai du mettre un email sur tous les codes qui doit m'envoyé un mail.
J'ai essayé avec mon propre nom de domaine, et avec gmx ... Même résultat. Alors que sur mon VPN & dédibox, je reçois pas les mails en demande mais je reçois bien ceux envoyé par Logwatch.
Je viens aussi d'essayer avec Hotmail, même résultat :x
Tiens une autre question,

J'ai suivi ta configuration Fail2Ban + ce lien: http://mondedie.fr/d/6978

J'ai bien reçu un mail comme quoi le jail fail était stoppé. Mais même en relançant je ne reçois rien. Est-ce normal?
Salut
Non c'est pas normal si t'as tout fait comme il faut, mais je viens de regarder sur une install' script et pareil j'ai un comportement chelou

Alors déjà je viens de voir un truc qui va pas, si t'as installé un serveur ftp (vsftpd), si t'as installé avec le script tu fais la manip' aussi: 
nano /etc/fail2ban/jail.local
tu supprimes ce que tu as ajouté: 
# Pour vsftpd
[vsftpd]
enabled = true
port = ftp
filter = vsftpd
logpath = /var/log/vsftpd.log
bantime  = 600
maxretry = 5
tu descends beaucoup plus bas et tu cherches: 
[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6
que tu changes en: 
enabled = true
ils ont du l'ajouter récemment parce qu'il n'y avait pas de soucis avec avant donc y'a un truc...

ensuite, tu passes dans le dossier log: 
cd /var/log
tu vides ton fichier fail2ban pour que ce soit plus clair 
> fail2ban.log
tu relances fail2ban maintenant: 
/etc/init.d/fail2ban restart
et tu regardes le log, à la fin du doit avoir des "started" sur les 2/3 dernieres lignes: 
nano fail2ban.log
si oui, c'est ok sinon je ne sais pas encore ou est le problème à part ça (et j'ai pas trop le temps de regarder plus pour l'instant)

si pas bon, tu peux repartir sur du propre et basic: 
apt-get purge fail2ban
rm -R  /etc/fail2ban/ # il supprime pas tout seul à cause des fichier en filter.d
apt-get install fail2ban
ton ssh sera protégé avec la conf de base comme ça le temps de trouver une soluce...
Ex.
J'ai testé ta solution, sauf la purge.
Vsftpd n'était pas installé, et j'ai testé. Cela m'a plus foutu la vérole qu'autre chose. Log vides aussi à mon grand étonnement.

Je testerais "Bloquer les attaques DDOS avec Nginx via Fail2ban" avec ton tuto sous VM, plus en profondeur histoire de.
"Cela m'a plus foutu la vérole qu'autre chose": ça ne ressemble pas à un message d'erreur debian ou je me trompe ?!?
Faudra que je cherche "vérole" sur le wiki peut-être.
Le fichier jail.local qui plante le restart pour plusieurs raison apparemment, vu qu'on a vidé le log et qu'il ne se lance pas, log vide normal.

Pour : 
apt-get purge fail2ban
rm -R  /etc/fail2ban/
apt-get install fail2ban
Ça t'aurais permis de repartir sur un fail2ban propre et un ssh sécure, c'est toi qui voit.
Ex.
C'était une manière de parler tu sais

J'ai fait plus simple à vrai dire: 
apt-get autoremove --purge vsftpd
Suivi d'un: 
nano /etc/fail2ban/jail.local
Ainsi j'ai commenté la partie en ftp pour vsftpd, puis supprimé le reste. 
 service fail2ban restart
cat /var/log/fail2ban.log
2015-10-06 16:22:40,140 fail2ban.jail   [14446]: INFO    Jail 'ssh' started
2015-10-06 16:42:24,607 fail2ban.actions[14446]: WARNING [ssh] Ban 43.229.XX.XX
Et j'ai bien reçu le mail pour me prévenir du blocage, l'ip est bien bloqué pour un bantime choisi. Plus qu'à voir pourquoi le tuto' de EagleLake bloque chez moi.
8 jours plus tard
Salut à tous !

Bon malgré une petite recherche sur le forum j'ai pas trouvé de réponse à ma question (mais aiguillez moi si ça a déjà été traité!):

J'ai voulu faire la partie sécurisation SSH du tuto, et tout a bien fonctionné . Excepté que je peux plus m'élever en root depuis l'utilisateur crée... 
-bash: /bin/su: Permission denied
Je pense pourtant avoir suivi le tuto à la lettre.

NB: Je suis globalement très débutant, et j'ai plus particulièrement jamais rien pigé aux groupes/user/droits sur linux. Si je dis ça c'est pour vous situer mon niveau ( ).

PS: J'en profite au passage pour remercier tout le monde pour les tutos, astuces et diverses perles sur le site! Ca fait un moment que je zone ici mais j'avais jamais posté, puisque grâce à vos explications très claire j'avais jamais eu de gros problèmes
Salut,

Tu n'aurais pas joué avec les chmod par hasard?

Que te renvoie cette commande? 
cd / && ls -l
Euh très franchement j'en sais rien, j'ai tellement bidouillé sur le serveur... j'ai installé emby, plex, rutorrent, ownclound, rainloop et ai parfois eu des soucis que j'ai voulu résoudre tout seul, en bricolant. Sans compter que j'ai pas toujours suivi les tutos à la lettre. Du coup j'ai une installation un peu crado

Voilà ce que me retourne la commande lorsque je la lance depuis la session de l'utilisateur (qu'on va appeler <user_b>) créer avec le tuto sécu SSH: 
drwxr-xr-x   2 root    root  4096 Oct  1 10:27 bin
drwxr-xr-x   2 root    root  4096 Aug 30 12:45 boot
drwxr-xr-x   6 root    root   660 Oct  5 09:56 dev
drwxr-xr-x 122 root    root 12288 Oct 14 14:05 etc
drwxr-xr-x    <user_a> root  4096 Oct 14 14:04 home
drwxr-xr-x  14 root    root  4096 Oct  3 06:20 lib
drwxr-xr-x   2 root    root  4096 Sep 27 05:20 lib64
drwx------   2 root    root 16384 Aug 30 12:44 lost+found
drwxr-xr-x   2 root    root  4096 Aug 30 12:45 media
drwxr-xr-x   2 root    root  4096 Aug 30 12:45 mnt
drwxr-xr-x   3 root    root  4096 Oct  4 10:48 opt
dr-xr-xr-x 159 root    root     0 Oct  5 09:56 proc
drwx------  13 root    root  4096 Oct 14 12:12 root
drwxr-xr-x  24 root    root   820 Oct 14 14:09 run
drwxr-xr-x   2 root    root  4096 Oct  1 10:27 sbin
drwxr-xr-x   3 root    root  4096 Oct  1 10:50 srv
drwxr-xr-x   7 root    root     0 Oct  5 09:56 sys
drwxrwxrwt  12 root    root  1960 Oct 15 01:30 tmp
drwxr-xr-x  11 root    root  4096 Aug 30 12:46 usr
drwxr-xr-x  15 root    root  4096 Oct  7 05:51 var
Que liste cette commande en fait? Les permissions à droite sont-elles celles de mon utilisateur en cours? Et à quoi correspondent les chiffres de la 2nde colonne?

Merci pour le coup de main en tout cas.
Salut
Ça sent le sapin ton affaire
Tu pourrais donner les permissions dans /bin maintenant: 
cd /bin && ls -l
Copie/colle juste la ligne pour su
Je vois pas trop comment t'aurais changer ça mais faut vérifier, elle doit être comme ça:
-rwsr-xr-x 1 root root 40168 ..... su
Si c'est pas le cas, voir déjà le bas de mon message, et faire: 
chmod 755 /bin/su
chmod u+s /bin/su
Que liste cette commande en fait?
- Ça te donne de l'info. permission type proprio groupe taille date..
http://www.linux-france.org/article/man-fr/man1/ls-1.html

Les permissions à droite sont-elles celles de mon utilisateur en cours?
- Mauvaise approche du problème ^^ Ce que tu vois c’est les permissions accordé sous cette forme: propriétaire | groupe | tout les autres donc l'affichage de ls ne change pas en fonction des users.

Et à quoi correspondent les chiffres de la 2nde colonne?
- C'est le type du fichier il me semble
Pour en revenir à nos moutons, si t'as suivi le tuto à la lettre, t'as pu passer à coté de ce qu'il y a en gras et en rouge...

Tu n'as pas fermé ta console root, t'en a ouvert une autre pour tester ton nouvel user. Donc comme ça marchait pas, tu as pu revenir à la conf d'origine, ce qui veut dire que t'as toujours la possibilité de te logger en root pour bosser.

Un "non" serait une très mauvaise nouvelle ! Parce que si y'a une couille de permissions là dessus ou autres, tu ne pourras pas faire de modifs, et là le mode Rescue te tend les bras pour rafistoler la chose

Ceci dit, à part cette histoire de droits, je vois pas autre chose moi donc je ne pourrai pas en dire beaucoup plus.
Ex.
Merci (encore) pour le coup de main.!

Eh ben effectivement y'avait une burne dans le potage:
-rwsr-x--- 1 root admin   40168 Nov 20  2014 su
Je vois pas trop comment j'ai pu changer ça non plus, surtout que 1) Je me rappelle pas avoir vu passer quoique soit de ce genre dans les tutos que j'ai suivi 2) Je sais absolument pas le faire Aucune idée d’où sort le groupe "admin" (si j'ai bien compris l'affichage de la commande c'est un groupe, j'ai bon?)

J'ai passé ta commande en console de secours et je peux désormais m’élever en root . Par contre je comprend pas ce qui a pu se passer, et j'ai toujours:
-rwsr-xr-x 1 root admin   40168 Nov 20  2014 su
Mais en tout cas, tout fonctionne. Merci encore.

Pour le truc en gras et rouge... ma rutilante ligne adsl 13Mb/s a l'adorable habitude de se désynchroniser 3 ou 4 fois / jours... Quand c'est revenu et que KiTTY a renvoyé automatiquement les ID de connexion...
Si ça marche tant mieux. Je ne sais pas d'où sort le root:admin mais ça ne doit pas être gênant à mon avis, tu devrait le laisser tel quel.
Ex.
12 jours plus tard
Bonjour à tous.
Petite question: j'ai mon logwatch qui me rapporte les infos de iptables firewall tous les jours.

A chaque fois, il me détecte des scans de ports faite par plusieurs ip.
Dois je m'en inquiéter ou bien ne pas en tenir compte (sachant que tout à été installé selon le tuto "sécurisation et logs" et que portsentry est bien configuré)

Ci-joint 2 captures du mail logwatch pour aujourd'hui: 
iptables firewall
Listed by source hosts:
Logged 1199 packets on interface eth0
 From 1.171.248.131 - 2 packets to tcp(1095,10080)
 From 5.8.66.69 - 1 packet to udp(19)
 From 5.8.66.78 - 1 packet to tcp(22)
 From 5.19.246.95 - 1 packet to tcp(23)
 From 5.35.15.23 - 1 packet to udp(3544)
 From 5.39.4.33 - 1 packet to udp(5060)
 From 5.189.165.122 - 2 packets to udp(5060)
 From 10.5.0.145 - 4 packets to tcp(23)
 From 14.161.7.89 - 3 packets to tcp(23)
 From 23.239.65.124 - 2 packets to udp(5070,5080)
 From 23.239.69.67 - 4 packets to udp(5060)
 From 23.239.69.73 - 1 packet to udp(5060)
 From 23.239.69.131 - 6 packets to udp(5060,5061,5070,5080,5090)
 From 23.239.69.179 - 1 packet to udp(5060)
Dont une ip qui s'acharne particulièrement: 
From 89.248.171.165 - 70 packets to tcp(1081,1082,1090,1091,8091,8092,8093,8094,8095,8097,8098,8099,8100,8101,8102,8 103,8104,8105,8106,8107,8108,8109,8110,8111,8112,8113,8114,8115,8116,8117,8118,8 119,8120,9010,9011,9081,9082,9083,9084,9085,9086,9087,9088,9089,9092,9093,9094,9 095,9100,9101,9102,9103,9104,9105,9106,9107,9108,9109,9110,38550,38551,38552,385 53,38554,38555,38556,38557,38558,38559,38560)
Merci d'avance pour vos retour
Plop,

Peux tu me donner le contenu de ton conf fail2ban en faisant 
cat /etc/fail2ban/jail.local
Voici ce que me donne la commande cat /etc/fail2ban/jail.local
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# Comments: use '#' for comment lines and ';' for inline comments
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8 192.168.2.0/24 88.121.198.207 82.235.229.198                                                                                                                                                                                
# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =

# "bantime" is the number of seconds that a host is banned.
bantime  = 86400

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
#findtime = 600
findtime = 3600
maxretry = 3

# "backend" specifies the backend used to get files modification.
# Available options are "pyinotify", "gamin", "polling" and "auto".
# This option can be overridden in each jail as well.
#
# pyinotify: requires pyinotify (a file alteration monitor) to be installed.
#            If pyinotify is not installed, Fail2ban will use auto.
# gamin:     requires Gamin (a file alteration monitor) to be installed.
#            If Gamin is not installed, Fail2ban will use auto.
# polling:   uses a polling algorithm which does not require external libraries.
# auto:      will try to use the following backends, in order:
#            pyinotify, gamin, polling.
backend = auto

# "usedns" specifies if jails should trust hostnames in logs,
#   warn when reverse DNS lookups are performed, or ignore all hostnames in logs
#
# yes:   if a hostname is encountered, a reverse DNS lookup will be performed.
# warn:  if a hostname is encountered, a reverse DNS lookup will be performed,
#        but it will be logged as a warning.
# no:    if a hostname is encountered, will not be used for banning,
#        but it will be logged as info.
usedns = warn

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = michael@nerdherd45.me.uk

#
# Name of the sender for mta actions
sendername = Fail2Ban

# Email address of the sender
sender = fail2ban@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s", sendername="%(sendername)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", sendername="%(sendername)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh,45022
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

[dropbear]

enabled  = false
port     = ssh
filter   = dropbear
logpath  = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled  = false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6


# Here we use blackhole routes for not requiring any additional kernel support
# to store large volumes of banned IPs

[ssh-route]

enabled = false
filter = sshd
action = route
logpath = /var/log/sshd.log
maxretry = 6

# Here we use a combination of Netfilter/Iptables and IPsets
# for storing large volumes of banned IPs
#
# IPset comes in two versions. See ipset -V for which one to use
# requires the ipset package and kernel support.
[ssh-iptables-ipset4]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto4
logpath  = /var/log/sshd.log
maxretry = 6

[ssh-iptables-ipset6]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto6
logpath  = /var/log/sshd.log
maxretry = 6


#
# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

[apache-modsecurity]

enabled  = false
filter   = apache-modsecurity
port     = http,https
logpath  = /var/log/apache*/*error.log
maxretry = 2

[apache-nohome]

enabled  = false
filter   = apache-nohome
port     = http,https
logpath  = /var/log/apache*/*error.log
maxretry = 2

# Ban attackers that try to use PHP's URL-fopen() functionality
# through GET/POST variables. - Experimental, with more than a year
# of usage in production environments.

[php-url-fopen]

enabled = false
port    = http,https
filter  = php-url-fopen
logpath = /var/www/*/logs/access_log

# A simple PHP-fastcgi jail which works with lighttpd.
# If you run a lighttpd server, then you probably will
# find these kinds of messages in your error_log:
#   ALERT – tried to register forbidden variable ‘GLOBALS’
#   through GET variables (attacker '1.2.3.4', file '/var/www/default/htdocs/index.php')

[lighttpd-fastcgi]

enabled = false
port    = http,https
filter  = lighttpd-fastcgi
logpath = /var/log/lighttpd/error.log

# Same as above for mod_auth
# It catches wrong authentifications

[lighttpd-auth]

enabled = false
port    = http,https
filter  = suhosin
logpath = /var/log/lighttpd/error.log

#[nginx-http-auth]

#enabled = true
#filter  = nginx-http-auth
#port    = http,https
#logpath = /var/log/nginx/error.log
#bantime = 600
#maxretry = 15

[nginx-auth]
enabled  = true
port  = http,https
filter   = nginx-auth
logpath  = /var/log/nginx/*error.log
bantime = 86400
maxretry = 3

[nginx-badbots]
enabled  = true
port  = http,https
filter = nginx-badbots
logpath = /var/log/nginx/*access.log
bantime = 864000
maxretry = 3

# Monitor roundcube server

[roundcube-auth]

enabled  = false
filter   = roundcube-auth
port     = http,https
logpath  = /var/log/roundcube/userlogins


[sogo-auth]

enabled  = false
filter   = sogo-auth
port     = http, https
# without proxy this would be:
# port    = 20000
logpath  = /var/log/sogo/sogo.log


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[pure-ftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/syslog
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/syslog
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp,submission
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = postfix-sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log

# To log wrong MySQL access attempts add to /etc/my.cnf:
# log-error=/var/log/mysqld.log
# log-warning = 2
[mysqld-auth]

enabled  = false
filter   = mysqld-auth
port     = 3306
logpath  = /var/log/mysqld.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

[freeswitch]

enabled  = false
filter   = freeswitch
logpath  = /var/log/freeswitch.log
maxretry = 10
action   = iptables-multiport[name=freeswitch-tcp, port="5060,5061,5080,5081", protocol=tcp]
           iptables-multiport[name=freeswitch-udp, port="5060,5061,5080,5081", protocol=udp]

[ejabberd-auth]

enabled  = false
filter   = ejabberd-auth
port     = xmpp-client
protocol = tcp
logpath  = /var/log/ejabberd/ejabberd.log


# Multiple jails, 1 per protocol, are necessary ATM:
# see https://github.com/fail2ban/fail2ban/issues/37
[asterisk-tcp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = tcp
logpath  = /var/log/asterisk/messages

[asterisk-udp]

enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = udp
logpath  = /var/log/asterisk/messages


# Jail for more extended banning of persistent abusers
# !!! WARNING !!!
#   Make sure that your loglevel specified in fail2ban.conf/.local
#   is not at DEBUG level -- which might then cause fail2ban to fall into
#   an infinite loop constantly feeding itself with non-informative lines
[recidive]

enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

# See the IMPORTANT note in action.d/blocklist_de.conf for when to
# use this action
#
# Report block via blocklist.de fail2ban reporting service API
# See action.d/blocklist_de.conf for more information
[ssh-blocklist]

enabled  = false
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest="%(destemail)s", sender="%(sender)s", sendername="%(sendername)s"]
           blocklist_de[email="%(sender)s", apikey="xxxxxx", service="%(filter)s"]
logpath  = /var/log/sshd.log
maxretry = 20


# consider low maxretry and a long bantime
# nobody except your own Nagios server should ever probe nrpe
[nagios]
enabled  = false
filter   = nagios
action   = iptables[name=Nagios, port=5666, protocol=tcp]
           sendmail-whois[name=Nagios, dest="%(destemail)s", sender="%(sender)s", sendername="%(sendername)s"]
logpath  = /var/log/messages     ; nrpe.cfg may define a different log_facility
maxretry = 1

[nginx-dos]
# Based on apache-badbots but a simple IP check (any IP requesting more than
# 240 pages in 60 seconds, or 4p/s average, is suspicious)
# Block for two full days.
# @author Yannick Warnier
enabled = true
port    = http,https
filter  = nginx-dos
logpath = /var/log/nginx/*-access.log
findtime = 60
bantime  = 172800
maxretry = 240
13 jours plus tard
Si tu as encore le soucis tu devrais bannir par "block" d'adresses, cela sera plus rapide je pense.
Par ailleurs, petite question pas possible de modifier les entêtes/alias mail lors des envois logwatch ou autre par exemple?
12 jours plus tard
J'ai une proposition pour rendre l'utilisation de portsentry plus modulaire dans le blocage d'IPs.
Dans /etc/portsentry/portsentry.conf, utiliser : 
...
###################
# External Command#
###################
...
KILL_RUN_CMD="/sbin/iptables -A PORTSENTRY -s $TARGET$ -j DROP && /sbin/iptables -A PORTSENTRY -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '"
Le but consiste tout simplement à ajouter les règles dans une nouvelle chaîne, PORTSENTRY, au lieu de les mettre dans INPUT directement.
Côté iptables, il faut bien sûr créer la chaîne et insérer son traitement dans INPUT :
iptables -N PORTSENTRY
iptables -I INPUT -j PORTSENTRY
Le tour est joué ! Pour éviter de se trimballer une chaîne qui contiendrait des milliers d'IPs que vous traînerez pendant un moment, on ajoute une tâche cron, qui s’exécutera par exemple tous les Dimanche :
crontab -e
* * * * 0 /sbin/iptables -F PORTSENTRY
Seule la chaîne PORTSENTRY sera vidée sans que ça puisse toucher INPUT qui contient peut-être d'autres règles utiles (Ossec, f2ban, règles perso, etc.).
hello,

depuis l'install de logwatch, je me fait spammer par mon serveur avec cette erreur dans le mail :
defined(@array) is deprecated at /usr/share/perl5/Log/Log4perl/Config.pm line 864.
        (Maybe you should just omit the defined()?)
defined(@array) is deprecated at /usr/share/perl5/Log/Log4perl/Config.pm line 864.
        (Maybe you should just omit the defined()?)
defined(@array) is deprecated at /usr/share/perl5/Log/Log4perl/Config.pm line 864.
        (Maybe you should just omit the defined()?)
defined(@array) is deprecated at /usr/share/perl5/Log/Log4perl/Config.pm line 864.
        (Maybe you should just omit the defined()?)
quelqu'un pourrait me dire comment aretter de me faire spammer ?

j'ai chercher un peu sur le net et les paquet de liblog-log4perl-perl sont bien à jour..
Salut
J'ai regardé vite fais (je pense qu'on a atterri sur les mêmes liens...)
T'es sur un debian 7 ou 8 ?
Parce que ça a l'air d'être un bug connu de liblog-log4perl-perl mais qui a été corrigé à partir de la version 1.41
Sur Jessie on serait en 1.44 donc ça devrait pas arriver normalement.
Si Wheezy, faudrait peut-être ajouter les dépôts unstable pour dépasser la 1.29 mais je suis pas top avec ces histoires là moi donc je peux pas trop en dire plus....
Tu devrais peut-être faire un topic à part pour être plus visible.


@Wonderfall , je garde sous le coude c'est intéressant ton histoire d'iptables.
Je suis totalement débordé en ce moment donc je touche à rien mais bon... Je note pour plus tard !
Ex.
hello,

je suis bien en Wheezy, j'ai donc installer la version 1.41 en sid.. je check mes logs voir si les erreurs apparraissent encore..
Au pire temps une purge... On ne sait jamais !
c’était bien la solution.. plus de spam depuis l'update !
Wonderfall wrote:J'ai une proposition pour rendre l'utilisation de portsentry plus modulaire dans le blocage d'IPs.
Dans /etc/portsentry/portsentry.conf, utiliser : 
...
###################
# External Command#
###################
...
KILL_RUN_CMD="/sbin/iptables -A PORTSENTRY -s $TARGET$ -j DROP && /sbin/iptables -A PORTSENTRY -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '"
Le but consiste tout simplement à ajouter les règles dans une nouvelle chaîne, PORTSENTRY, au lieu de les mettre dans INPUT directement.
Côté iptables, il faut bien sûr créer la chaîne et insérer son traitement dans INPUT :
iptables -N PORTSENTRY
iptables -I INPUT -j PORTSENTRY
Le tour est joué ! Pour éviter de se trimballer une chaîne qui contiendrait des milliers d'IPs que vous traînerez pendant un moment, on ajoute une tâche cron, qui s’exécutera par exemple tous les Dimanche :
crontab -e
* * * * 0 /sbin/iptables -F PORTSENTRY
Seule la chaîne PORTSENTRY sera vidée sans que ça puisse toucher INPUT qui contient peut-être d'autres règles utiles (Ossec, f2ban, règles perso, etc.).
Mais les Ips bannis ne restent pas également dans le hosts.deny ?
un mois plus tard
Bonjour,

Etant auto-hébergé derrière une Freebox révolution, je souhaiterai savoir s'il est utile d'installer portsentry dans la mesure ou seuls les ports dont j'ai besoin sont ouverts. Freebox en mode routeur intègre déjà un firewall, dois je configurer quand même iptables ?

Merci de vos réponses
Il n'y a aucun lien direct entre ta freebox & ton dédie.

Ton dédié est hébergé chez un prestataire, et ta box est chez toi
Désolé je me suis mal expliqué. Je n'ai pas de dédié j'ai un nas à domicile et donc derrière la box. J'ai conscience que la question n'est pas vraiment à sa place sur ce forum mais j'ai du mal à trouver la réponse sur le net. C'est pour cela que je vous sollicite.
Oui par sécurité j'installerais perso
Merci setsuneh de la réponse mais du coup j'aurais bien aimé avoir plus d'explication sur le sujet. Installer iptables et porstentry ,, ou pas ! et pourquoi ?