• Serveurs
  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Bonjour,
je viens d'utiliser le tuto de sécurisation V3 sur un nouveau dédié en debian 9 et tout s'est bien passé, merci pour ce tuto d'ailleurs.
En revanche dans les mails quotidiens de Logwatch j'ai 3 warnings dans la rubrique fail2ban :
WARNINGS
Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',): 288 Time(s)
Command ['status', '-'] has failed. Received UnknownJailException('-',): 288 Time(s)
Command ['status', 'list:'] has failed. Received UnknownJailException('list:',): 288 Time(s)
Quelqu'un aurait-il une piste ?

fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;

Bonsoir,

voici une liste des commandes @otello86 qui devrait en donner.

Merci pour ta réponse.
Voici les 1er éléments demandés

version : Fail2Ban v0.9.6

status : Status
|- Number of jail: 4
`- Jail list: nginx-auth, nginx-badbots, sshd, vsftpd

Par contre la commande start me renvoie systématiquement : ERROR Server already running
alors que la commande stop me donne "Shutdown successfull"

Bon je viens de trouver tout seul

l'erreur semble venir du fait que le tuto fait ajouter une section [ssh] alors qu'une section [sshd] est déjà dans le fichier.
Si je mets sur enable la section [sshd] avec le port renseigné et que je retire la section [ssh] tout est ok yc les commandes stop & start

Merci

6 jours plus tard

Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...

    15 jours plus tard

    otello86

    Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
    2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received
    UnknownJailException('
    -',)
    2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
    2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

    Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.

    Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci 🙁. Donc j'attends vos lumières 🙂

    PS:
    Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
    script d'Ex Rat adapté à debian 9

      20 jours plus tard

      Bonjour
      Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.

      J'ai installé sur mon serveur les paquets suivants :

      (avec les config. mentionnés dans le tuto)

      • Serveur Mail
      • Logwatch
      • Fail2Ban
      • Portsentry
      • RKHunter
      • Surveillance de notre log d’accès à Rutorrent et bannissement.

      Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.

      Toutes les installations fonctionnent, merci encore.

      Mes questions sont :

      Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
      - Comment pouvoir me connecter avec ce nouvel IP ?

      Avec e banner :
      - Comment retirer une IP du bannissement ?

      IP bannie avec Fail2Ban :
      Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
      Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.

      Encore tous mes remerciements pour votre job.

        Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
        C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.

        Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
        Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).

        ## Pour obtenir la listes des jails.
        fail2ban-client status;
        ## Voici un exemple pour connaître la durée du ban (de la dite jail).
        fail2ban-client get sshd bantime;
        ## Dans cet exemple, on démontre comment retirer une IP du bannissement.
        fail2ban-client set sshd unbanip 127.0.0.1;
        ## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
        fail2ban-client set sshd addignoreip 127.0.0.1;
        

        Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local; (ou alors l'original nano /etc/fail2ban/jail.conf;)

        16 jours plus tard

        Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.

          Bonjour,

          Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider 🙃 ❓ ❔
          shyne Je pense que ta réponse ne m'était pas destinée 😅 mais que c'était plutôt pour Peerotechnik

          Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t ❓

          Pour remettre une explication claire du "soucis" :
          Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :

          2017-10-30 12:25:15,591 fail2ban.transmitter    [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
          2017-10-30 12:25:15,514 fail2ban.transmitter    [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
          2017-10-30 12:25:15,253 fail2ban.transmitter    [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)

          J'utilise Fail2Ban v0.9.6 sur Debian 9.

          Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ... 🤔

            Bonjour,

            de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.

            @otello86 elles sont bien toujours là [...]

            Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.

            @otello86 [...] ajouter une section [ssh]

            Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
            Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).

            @otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
            Command ['status', '-'] has failed. Received UnknownJailException('-',)
            Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

            À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.

            25 jours plus tard

            Bonsoir.
            J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
            Chose étonnante quand je test

             echo 'Salut, je suis un email.' | mail -s 'Hello world' root

            je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.

            Avez vous constaté aussi ce problème.

              2 mois plus tard

              dam

              J'ai le même problème.

              Je précise qu'avant la redirection des mails "root" le serveur mail fonctionnait, c'est dès que je rajoute

               root: mon_email@gmail.com 

              ... que je ne reçois plus d'email de confirmation en test.

              À ma 1re installation tout a bien fonctionné, mais à ma 2e (raz) plus du tout.

              • dam a répondu à ça.
                12 jours plus tard

                Peerotechnik

                Bonjour.
                Finalement moi je n'ai plus de problème. Par contre quelques fois il m'arrive de recevoir un mail de ce type

                 Objet :	Cron <root@ns.....> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
                /etc/cron.daily/logrotate:
                ERROR  Unable to contact server. Is it running?
                error: error running non-shared postrotate script for /var/log/fail2ban.log of '/var/log/fail2ban.log '
                run-parts: /etc/cron.daily/logrotate exited with return code 1

                Plus de soucis avec

                Fail2Ban v0.11.0.dev1

                J'ai suivi se tuto, mon jail.local

                fail2ban-client status
                Status
                |- Number of jail:      4
                `- Jail list:   nginx-auth, nginx-badbots, ssh, vsftpd
                tail -f /var/log/fail2ban.log
                2018-02-06 14:00:36,683 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/rutorrent-access.log' (pos = 36433, hash = ea764a7508e2a9fd1fe8983c78ed8dc6)
                2018-02-06 14:00:36,684 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/access.log' (pos = 0, hash = d41d8cd98f00b204e9800998ecf8427e)
                2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      maxRetry: 5
                2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      encoding: ANSI_X3.4-1968
                2018-02-06 14:00:36,685 fail2ban.actions        [22626]: INFO      banTime: 600
                2018-02-06 14:00:36,686 fail2ban.filter         [22626]: INFO      findtime: 600
                2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'vsftpd' started
                2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'ssh' started
                2018-02-06 14:00:36,690 fail2ban.jail           [22626]: INFO    Jail 'nginx-auth' started
                2018-02-06 14:00:36,691 fail2ban.jail           [22626]: INFO    Jail 'nginx-badbots' started
                un mois plus tard

                Pour le bannissement en tapant ban + IP à bannir :

                Est-il possible de bannir une plage d'IP de par exemple: 26.16.0.0 à 26.16.256.256 ?
                Si oui comment taper cette plage ?

                ou faut-il directement aller sur iptables ?

                Merci