• Serveurs

  • Problème avec Fail2ban au redémarrage

Salut à tous !
J'ai parcouru le forum à la recherche d'un problème similaire mais je n'ai malheureusement pas encore trouvé de réponse.
Sans avoir rien touché à la configuration du service fail2ban, j'ai depuis la mise à jour de ma machine en ubuntu 16.04.2 des problèmes lorsque je redémarre le service ou redémarre la machine.
Fail2ban me renvoie, sans exception, tous les emails d'alerte qu'il m'a envoyé lors de la capture d'une tentative d'intrusion par ssh.
J'ai regardé du côté du jail.conf ou jail.local et je ne trouve rien d'anormal.
Dans le jail.conf je pensais qu'ajouter le paramètre "findtime = 86400" changerait quelque chose mais en vain.

Si vous aviez des idées ou piste sur le sujet je suis preneur 🙂

Merci par avance pour l'aide apportée (et d'avoir lu ce sujet même si vous n'intervenez pas, c'est déjà cool 🙂) !

    Bonjour,

    Commence par quelque chose de simple remove/reinstall Fail2ban 🙂

    Bonjour Ikoula 🙂
    Je ne comptais pas me la jouer à la manière forte mais en effet il serait peut être plus simple que je purge tout ça et que je reparte sur de bonnes bases.
    Merci pour l'idée du coup, je vais faire ça de suite, reconfigurer le tout et voir si le problème se reproduit ou pas. Je repasse donner mon verdict très bientôt.

    Je viens aux nouvelles ! Du coup après désinstallation (apt-get remove) le problème était le même.
    En passant par une purge et en refaisant la config le problème a disparu.
    Comme je n'ai pas réutilisé les éléments de mon ancienne config je ne sais donc pas d'où venait réellement le problème.
    Quoi qu'il en soit c'est résolu 🙂

    Merci à ceux qui ont lus et merci ikoula pour l'idée de désinstaller tout simplement 😉

    qo_op Humm, si je ne dis pas de bêtise, je pense que c'est normal, quand fail2ban ban une IP, il sauvegarde dans la base "/var/lib/fail2ban/fail2ban.sqlite3" les IPs banni et des infos par rapport aux précédents bans dans le log "/var/log/fail2ban.log". Du coup, après chaque restart du service, il va reban systématiquement les précédentes IPs banni. Afin de remédier à ça, il faut supprimer la base sqlite3 et le log fail2ban avant chaque restart du service.

    
rm -f /var/lib/fail2ban/fail2ban.sqlite3
sudo truncate -s 0 /var/log/fail2ban.log

        LuffyyffuL dans mon cas le fichier fail2ban.sqlite3 n'existe pas et je n'ai pas l'impression d'avoir d'équivalent.
        Et pour le moment le fichier fail2ban.log n'est pas super rempli.
        Quoi qu'il en soit actuellement, après avoir fait la purge de la config etc.. j'ai eu quelques bans entre temps, donc de nouvelles alertes, et au redémarrage il ne semble pas me renvoyer les emails concernant ces récents bans d'ip.
        Je vais surveiller ça de près car lorsque ça m'est arrivé je recevais quand même pas loin de 1300 emails d'alerte à chaque reboot du serveur (et ça ne cessait d'augmenter). Le serveur en question ne redémarre pas souvent mais bon 🙂.

          Répondre…