{NGINX} / {Fail2ban} : Site inaccessible.

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

{NGINX} / {Fail2ban} : Site inaccessible.

Solinvictus

Bonjour,

Comme l'indique le titre, je rencontre un problème d'accès à mon site internet pour un de mes colocataires. Il ne parvient pas à accéder au site en permanence, surtout dès lors que sa box change d'IP d'après ce qu'il m'a rapporté; En effet, celui-ci possède une IP dynamique et je ne peux donc pas l'ajouter dans la liste blanche de mon fichier jail.conf de fail2ban.

Je me suis servi de ce tutoriel pour sécuriser Nginx avec fail2ban :

http://snippets.aktagon.com/snippets/554-how-to-secure-an-nginx-server-with-fail2ban

Y voyez-vous un quelconque élément qui pourrait expliquer mon problème ? Je me retrouve un peu dépourvu de réponses.

Merci

Wagner

Bonsoir,

non pas vraiment. À ma connaissance, c'est plutôt standard. Le mieux serait de déterminer la cause de ce ban. Il faudrait consulter les logs.

PS : Depuis le 29 octobre, la version 0.9.1 (cf GitHub de Fail2Ban) est disponible.

Solinvictus

Wagner wrote:Bonsoir,

non pas vraiment. À ma connaissance, c'est plutôt standard. Le mieux serait de déterminer la cause de ce ban. Il faudrait consulter les logs.

PS : Depuis le 29 octobre, la version 0.9.1 (cf GitHub de Fail2Ban) est disponible.

Je suis sur la version 0.8.9, il faut que je regarde pour la mise à jour.

J'ai pas checké les logs, à vrai dire, je me réfère aux alertes courriels que je reçois. N'ayant pas vu son adresse IP y figuré, je me suis arrêté là. Je vais regarder les logs la prochaine fois que ça arrive.

Wagner

C'est étrange, cette IP aurait du figuré dans l'une des alertes courriels... En tout cas, un bon réflexe, c'est de les consulter.
Il serait possible que la cause soit un autre logiciel comme PortSentry (etc) ?

EagleLake

bonjour solinvictus
va voir de se coté là Ici

sécurité V3 de ex_rat

Solinvictus

Wagner wrote:C'est étrange, cette IP aurait du figuré dans l'une des alertes courriels... En tout cas, un bon réflexe, c'est de les consulter.
Il serait possible que la cause soit un autre logiciel comme PortSentry (etc) ?

Oui, elle ne figurait pas, d'où mon incompréhension. Je n'ai pas de logiciel comme PortSentry ou autre.

@EagleLake : Je ne comprends pas où tu veux en venir, tu pourrais m'en dire plus ?

Je suis chez un pote là : si je tente d'accéder à mon site, je n'y parviens pas. Il faut que je me colle derrière un de mes VPN pour y accéder. Dans les logs, je trouve ceci :

fail2ban.actions: WARNING [nginx-noscript] Ban xx.xx.xx.xx

Pourquoi cette règle pose-t-elle problème ? Je précise que je n'ai pas reçu d'alertes par mail.

edit : je vais désactiver la règle de nginx-noscript pour voir si ça règle le problème, ça me permettra d'isoler la cause.

ex_rat

Salut
Je sais pas pourquoi la règle coince mais il faudrait voir dans tes logs nginx ce qui le fait tilter exactement déjà.
Sur ton premier lien, y'a la méthode pour tester ta règle, t'as tenté ?

Testing fail2ban Rules
You should test your fail2ban rules with the fail2ban-regex command:
# Test against a log file
# fail2ban-regex <log file> <filter configuration>

fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-noscript.conf

(adapter le nom du log et voir ce que ça donne.)
Ex.

Solinvictus

ex_rat wrote:Salut
Je sais pas pourquoi la règle coince mais il faudrait voir dans tes logs nginx ce qui le fait tilter exactement déjà.
Sur ton premier lien, y'a la méthode pour tester ta règle, t'as tenté ?

Testing fail2ban Rules
You should test your fail2ban rules with the fail2ban-regex command:
# Test against a log file
# fail2ban-regex <log file> <filter configuration>
fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-noscript.conf 
(adapter le nom du log et voir ce que ça donne.)
Ex.

Si je teste la règle, je trouve bien l'IP de mon pote.

Dans les logs de nginx, access.log, j'ai :

"GET /riri/rir/ri.php HTTP/1.1" 301 178 "-" "-"
 "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
 "GET /pma/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
"GET /myadmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

ex_rat

C'est du bots ça, ça doit pas être ton pote

Choppe la dernière ligne avec son ip, ce sera elle la coupable.
Ensuite batailler sur un ignoreregex = et tester jusqu'à ce que la règle ne cogne plus
Ex.

Solinvictus

ex_rat wrote:C'est du bots ça, ça doit pas être ton pote
Choppe la dernière ligne avec son ip, ce sera elle la coupable.
Ensuite batailler sur un ignoreregex = et tester jusqu'à ce que la règle ne cogne plus
Ex.

Ouai mais quelque chose m'échappe, j'ai ça :

fail2ban.actions: WARNING [nginx-noscript] ban XX.XX.XX.XX

Et pourtant dans la règle en question, je n'ai rien, pas l'IP en question :

Failregex
|- Regular expressions:
|  [1] ^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\scgi)
|
`- Number of matches:
   [1] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Sorry, no match

C'est bien cette règle qui semble définir le ban mais pourtant elle ne renvoie rien...

Cela dit, je retrouve bien l'IP dans iptables :

Chain fail2ban-NoScript (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  234 13340 DROP       all  --  *      *       XX.XX.XX.XX        0.0.0.0/0

Solinvictus

Je viens de tester quelque chose de chez mon pote : j'accède à mon site sans soucis, dans un premier temps. Là où ça cloche, c'est dès lors que je visite owncloud, par exemple, l'URL étant de type : owncloud.mondomain.tld/index.php. Et là : BAN !

Est-ce l'index.php qui fait réagir le règle de ban ?

ex_rat

Ça doit être ça ouais, faudrait tenter un truc du genre dans la règle:

ignoreregex = ^<HOST> -.*GET.*\index.php

(pas sur que ce soit bon du tout au dessus

)
Mais si ça doit ban des que tu demandes un page php c'est pas top quand même, ça tape large.

# Matches e.g.
# 192.168.1.1 - - "GET /something.php

Ex.

Solinvictus

ex_rat wrote:Ça doit être ça ouais, faudrait tenter un truc du genre dans la règle:
ignoreregex = ^<HOST> -.*GET.*\index.php
(pas sur que ce soit bon du tout au dessus )
Mais si ça doit ban des que tu demandes un page php c'est pas top quand même, ça tape large.
# Matches e.g.
# 192.168.1.1 - - "GET /something.php
Ex.

Pour l'instant, j'ai désactivé la règle nginx-noscript dans fail2ban, parce que c'est un peu trop agressif, et que je ne parviens pas à la configurer correctement. C'est une règle que vous utilisez ?

ex_rat

Non j'utilise d'équivalent pas dans le tuto sécu.
J'ai que ça (auth et bots) : http://mondedie.fr/d/5318/2
Au pire garde la règle en virant le \.php| , le reste doit pas poser de soucis je pense.
Ex.

Solinvictus

ex_rat wrote:Non j'utilise d'équivalent pas dans le tuto sécu.
J'ai que ça (auth et bots) : http://mondedie.fr/d/5318/2
Au pire garde la règle en virant le \.php| , le reste doit pas poser de soucis je pense.
Ex.

Merci ex_rat, je vais tenter de modifier la règle.