• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Hello,
Est-ce qu'il est possible, avec fail2ban, de bannir non pas une ip mais directement un domaine.
Non parce que dans mes logs, un seul revient, c'est yandex.ru et j'aimerai bien le bloquer définitivement.
Merci 😉

    fana Pour info yandex.ru c'est le google russe, du coup es-tu sûr de vouloir le bannir ?
    C'est du crawler classique à la google/baidu/bing et non pas du script-kiddies.

      Merci, je ne savais ce que c'était en fait 😉
      Mais ouep aucun intérêt que ça scanne mon serveur, ça m'affinera mes logs.

        22 jours plus tard

        Vous savez si on peut écrire ailleurs le log de portsentry ? J'aimerais que cela ne se fasse pas dans syslog.

        Merci o/

        4 mois plus tard

        Bonjour,
        je viens d'utiliser le tuto de sécurisation V3 sur un nouveau dédié en debian 9 et tout s'est bien passé, merci pour ce tuto d'ailleurs.
        En revanche dans les mails quotidiens de Logwatch j'ai 3 warnings dans la rubrique fail2ban :
        WARNINGS
        Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',): 288 Time(s)
        Command ['status', '-'] has failed. Received UnknownJailException('-',): 288 Time(s)
        Command ['status', 'list:'] has failed. Received UnknownJailException('list:',): 288 Time(s)
        Quelqu'un aurait-il une piste ?

        fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;

        Bonsoir,

        voici une liste des commandes @otello86 qui devrait en donner.

        Merci pour ta réponse.
        Voici les 1er éléments demandés

        version : Fail2Ban v0.9.6

        status : Status
        |- Number of jail: 4
        `- Jail list: nginx-auth, nginx-badbots, sshd, vsftpd

        Par contre la commande start me renvoie systématiquement : ERROR Server already running
        alors que la commande stop me donne "Shutdown successfull"

        Bon je viens de trouver tout seul

        l'erreur semble venir du fait que le tuto fait ajouter une section [ssh] alors qu'une section [sshd] est déjà dans le fichier.
        Si je mets sur enable la section [sshd] avec le port renseigné et que je retire la section [ssh] tout est ok yc les commandes stop & start

        Merci

        6 jours plus tard

        Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...

          15 jours plus tard

          otello86

          Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
          2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received
          UnknownJailException('          -',)
          2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
          2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

          Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.

          Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci 🙁. Donc j'attends vos lumières 🙂

          PS:
          Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
          script d'Ex Rat adapté à debian 9

              20 jours plus tard

              Bonjour
              Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.

              J'ai installé sur mon serveur les paquets suivants :

              (avec les config. mentionnés dans le tuto)

              • Serveur Mail
              • Logwatch
              • Fail2Ban
              • Portsentry
              • RKHunter
              • Surveillance de notre log d’accès à Rutorrent et bannissement.

              Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.

              Toutes les installations fonctionnent, merci encore.

              Mes questions sont :

              Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
              - Comment pouvoir me connecter avec ce nouvel IP ?

              Avec e banner :
              - Comment retirer une IP du bannissement ?

              IP bannie avec Fail2Ban :
              Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
              Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.

              Encore tous mes remerciements pour votre job.

                Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
                C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.

                Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
                Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).

                ## Pour obtenir la listes des jails.
fail2ban-client status;
## Voici un exemple pour connaître la durée du ban (de la dite jail).
fail2ban-client get sshd bantime;
## Dans cet exemple, on démontre comment retirer une IP du bannissement.
fail2ban-client set sshd unbanip 127.0.0.1;
## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
fail2ban-client set sshd addignoreip 127.0.0.1;

                Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local; (ou alors l'original nano /etc/fail2ban/jail.conf;)

                16 jours plus tard

                Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.

                  Bonjour,

                  Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider 🙃 ❓ ❔
                  shyne Je pense que ta réponse ne m'était pas destinée 😅 mais que c'était plutôt pour Peerotechnik

                  Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t ❓

                  Pour remettre une explication claire du "soucis" :
                  Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :

                  2017-10-30 12:25:15,591 fail2ban.transmitter    [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
2017-10-30 12:25:15,514 fail2ban.transmitter    [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-10-30 12:25:15,253 fail2ban.transmitter    [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)

                  J'utilise Fail2Ban v0.9.6 sur Debian 9.

                  Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ... 🤔

                            Bonjour,

                            de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.

                            @otello86 elles sont bien toujours là [...]

                            Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.

                            @otello86 [...] ajouter une section [ssh]

                            Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
                            Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).

                            @otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
                            Command ['status', '-'] has failed. Received UnknownJailException('-',)
                            Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

                            À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.

                            25 jours plus tard

                            Bonsoir.
                            J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
                            Chose étonnante quand je test

                             echo 'Salut, je suis un email.' | mail -s 'Hello world' root

                            je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.

                            Avez vous constaté aussi ce problème.