Bonjour,
je viens d'utiliser le tuto de sécurisation V3 sur un nouveau dédié en debian 9 et tout s'est bien passé, merci pour ce tuto d'ailleurs.
En revanche dans les mails quotidiens de Logwatch j'ai 3 warnings dans la rubrique fail2ban :
WARNINGS
Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',): 288 Time(s)
Command ['status', '-'] has failed. Received UnknownJailException('
-',): 288 Time(s)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',): 288 Time(s)
Quelqu'un aurait-il une piste ?
[Discussion] : Sécurisation & Logs {nginx} {lighttpd}
fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;
Bonsoir,
voici une liste des commandes @otello86 qui devrait en donner.
- Modifié
Merci pour ta réponse.
Voici les 1er éléments demandés
version : Fail2Ban v0.9.6
status : Status
|- Number of jail: 4
`- Jail list: nginx-auth, nginx-badbots, sshd, vsftpd
Par contre la commande start me renvoie systématiquement : ERROR Server already running
alors que la commande stop me donne "Shutdown successfull"
Bon je viens de trouver tout seul
l'erreur semble venir du fait que le tuto fait ajouter une section [ssh] alors qu'une section [sshd] est déjà dans le fichier.
Si je mets sur enable la section [sshd] avec le port renseigné et que je retire la section [ssh] tout est ok yc les commandes stop & start
Merci
- Modifié
Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...
Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received
-',)
UnknownJailException('
2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.
Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci . Donc j'attends vos lumières
PS:
Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
script d'Ex Rat adapté à debian 9
- Modifié
Bonjour
Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.
J'ai installé sur mon serveur les paquets suivants :
(avec les config. mentionnés dans le tuto)
- Serveur Mail
- Logwatch
- Fail2Ban
- Portsentry
- RKHunter
- Surveillance de notre log d’accès à Rutorrent et bannissement.
Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.
Toutes les installations fonctionnent, merci encore.
Mes questions sont :
Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
- Comment pouvoir me connecter avec ce nouvel IP ?
Avec e banner :
- Comment retirer une IP du bannissement ?
IP bannie avec Fail2Ban :
Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.
Encore tous mes remerciements pour votre job.
- Modifié
Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.
Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).
## Pour obtenir la listes des jails.
fail2ban-client status;
## Voici un exemple pour connaître la durée du ban (de la dite jail).
fail2ban-client get sshd bantime;
## Dans cet exemple, on démontre comment retirer une IP du bannissement.
fail2ban-client set sshd unbanip 127.0.0.1;
## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
fail2ban-client set sshd addignoreip 127.0.0.1;
Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local;
(ou alors l'original nano /etc/fail2ban/jail.conf;
)
therealcorwin Bonjour,
J'ai le même soucis ... Tu as trouvé une solution ?
Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.
Bonjour,
tu devrais relire les derniers messages @Vendetta1985 car il y a une ressemblance (le n°540).
Bonjour,
Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider
shyne Je pense que ta réponse ne m'était pas destinée mais que c'était plutôt pour Peerotechnik
Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t
Pour remettre une explication claire du "soucis" :
Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :
2017-10-30 12:25:15,591 fail2ban.transmitter [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
2017-10-30 12:25:15,514 fail2ban.transmitter [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-10-30 12:25:15,253 fail2ban.transmitter [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)
J'utilise Fail2Ban v0.9.6 sur Debian 9.
Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ...
- Modifié
Bonjour,
de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.
@otello86 elles sont bien toujours là [...]
Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.
@otello86 [...] ajouter une section [ssh]
Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status
) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).
@otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
Command ['status', '-'] has failed. Received UnknownJailException('-',)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.
Bonsoir.
J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
Chose étonnante quand je test
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.
Avez vous constaté aussi ce problème.
J'ai le même problème.
Je précise qu'avant la redirection des mails "root" le serveur mail fonctionnait, c'est dès que je rajoute
root: mon_email@gmail.com
... que je ne reçois plus d'email de confirmation en test.
À ma 1re installation tout a bien fonctionné, mais à ma 2e (raz) plus du tout.
Bonjour.
Finalement moi je n'ai plus de problème. Par contre quelques fois il m'arrive de recevoir un mail de ce type
Objet : Cron <root@ns.....> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
/etc/cron.daily/logrotate:
ERROR Unable to contact server. Is it running?
error: error running non-shared postrotate script for /var/log/fail2ban.log of '/var/log/fail2ban.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1
Vendetta1985 Je rencontre le même problème tu aurais trouver une solution ?
- Modifié
Plus de soucis avec
Fail2Ban v0.11.0.dev1
J'ai suivi se tuto, mon jail.local
fail2ban-client status
Status
|- Number of jail: 4
`- Jail list: nginx-auth, nginx-badbots, ssh, vsftpd
tail -f /var/log/fail2ban.log
2018-02-06 14:00:36,683 fail2ban.filter [22626]: INFO Added logfile: '/var/log/nginx/rutorrent-access.log' (pos = 36433, hash = ea764a7508e2a9fd1fe8983c78ed8dc6)
2018-02-06 14:00:36,684 fail2ban.filter [22626]: INFO Added logfile: '/var/log/nginx/access.log' (pos = 0, hash = d41d8cd98f00b204e9800998ecf8427e)
2018-02-06 14:00:36,685 fail2ban.filter [22626]: INFO maxRetry: 5
2018-02-06 14:00:36,685 fail2ban.filter [22626]: INFO encoding: ANSI_X3.4-1968
2018-02-06 14:00:36,685 fail2ban.actions [22626]: INFO banTime: 600
2018-02-06 14:00:36,686 fail2ban.filter [22626]: INFO findtime: 600
2018-02-06 14:00:36,689 fail2ban.jail [22626]: INFO Jail 'vsftpd' started
2018-02-06 14:00:36,689 fail2ban.jail [22626]: INFO Jail 'ssh' started
2018-02-06 14:00:36,690 fail2ban.jail [22626]: INFO Jail 'nginx-auth' started
2018-02-06 14:00:36,691 fail2ban.jail [22626]: INFO Jail 'nginx-badbots' started
Pour le bannissement en tapant ban + IP à bannir :
Est-il possible de bannir une plage d'IP de par exemple: 26.16.0.0 à 26.16.256.256 ?
Si oui comment taper cette plage ?
ou faut-il directement aller sur iptables ?
Merci