Hello,
Est-ce qu'il est possible, avec fail2ban, de bannir non pas une ip mais directement un domaine.
Non parce que dans mes logs, un seul revient, c'est yandex.ru et j'aimerai bien le bloquer définitivement.
Merci
[Discussion] : Sécurisation & Logs {nginx} {lighttpd}
Merci, je ne savais ce que c'était en fait
Mais ouep aucun intérêt que ça scanne mon serveur, ça m'affinera mes logs.
fana alors je pense que cette page te sera utile : http://ipinfodb.com/robots-ip-address-ranges.php
Elle répertorie les plages IP des crawlers des moteurs les plus connus, comme ça tu sais quoi bannir.
Vous savez si on peut écrire ailleurs le log de portsentry ? J'aimerais que cela ne se fasse pas dans syslog.
Merci o/
Bonjour,
je viens d'utiliser le tuto de sécurisation V3 sur un nouveau dédié en debian 9 et tout s'est bien passé, merci pour ce tuto d'ailleurs.
En revanche dans les mails quotidiens de Logwatch j'ai 3 warnings dans la rubrique fail2ban :
WARNINGS
Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',): 288 Time(s)
Command ['status', '-'] has failed. Received UnknownJailException('
-',): 288 Time(s)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',): 288 Time(s)
Quelqu'un aurait-il une piste ?
fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;
Bonsoir,
voici une liste des commandes @otello86 qui devrait en donner.
- Modifié
Merci pour ta réponse.
Voici les 1er éléments demandés
version : Fail2Ban v0.9.6
status : Status
|- Number of jail: 4
`- Jail list: nginx-auth, nginx-badbots, sshd, vsftpd
Par contre la commande start me renvoie systématiquement : ERROR Server already running
alors que la commande stop me donne "Shutdown successfull"
Bon je viens de trouver tout seul
l'erreur semble venir du fait que le tuto fait ajouter une section [ssh] alors qu'une section [sshd] est déjà dans le fichier.
Si je mets sur enable la section [sshd] avec le port renseigné et que je retire la section [ssh] tout est ok yc les commandes stop & start
Merci
- Modifié
Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...
Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received
-',)
UnknownJailException('
2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.
Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci . Donc j'attends vos lumières
PS:
Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
script d'Ex Rat adapté à debian 9
- Modifié
Bonjour
Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.
J'ai installé sur mon serveur les paquets suivants :
(avec les config. mentionnés dans le tuto)
- Serveur Mail
- Logwatch
- Fail2Ban
- Portsentry
- RKHunter
- Surveillance de notre log d’accès à Rutorrent et bannissement.
Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.
Toutes les installations fonctionnent, merci encore.
Mes questions sont :
Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
- Comment pouvoir me connecter avec ce nouvel IP ?
Avec e banner :
- Comment retirer une IP du bannissement ?
IP bannie avec Fail2Ban :
Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.
Encore tous mes remerciements pour votre job.
- Modifié
Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.
Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).
## Pour obtenir la listes des jails.
fail2ban-client status;
## Voici un exemple pour connaître la durée du ban (de la dite jail).
fail2ban-client get sshd bantime;
## Dans cet exemple, on démontre comment retirer une IP du bannissement.
fail2ban-client set sshd unbanip 127.0.0.1;
## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
fail2ban-client set sshd addignoreip 127.0.0.1;
Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local;
(ou alors l'original nano /etc/fail2ban/jail.conf;
)
therealcorwin Bonjour,
J'ai le même soucis ... Tu as trouvé une solution ?
Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.
Bonjour,
tu devrais relire les derniers messages @Vendetta1985 car il y a une ressemblance (le n°540).
Bonjour,
Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider
shyne Je pense que ta réponse ne m'était pas destinée mais que c'était plutôt pour Peerotechnik
Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t
Pour remettre une explication claire du "soucis" :
Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :
2017-10-30 12:25:15,591 fail2ban.transmitter [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
2017-10-30 12:25:15,514 fail2ban.transmitter [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-10-30 12:25:15,253 fail2ban.transmitter [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)
J'utilise Fail2Ban v0.9.6 sur Debian 9.
Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ...
- Modifié
Bonjour,
de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.
@otello86 elles sont bien toujours là [...]
Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.
@otello86 [...] ajouter une section [ssh]
Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status
) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).
@otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
Command ['status', '-'] has failed. Received UnknownJailException('-',)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.
Bonsoir.
J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
Chose étonnante quand je test
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.
Avez vous constaté aussi ce problème.