OVH Community, votre nouvel espace communautaire.

Fail2Ban - OVH Release 3


sloboman
15/12/2014, 01h20
J'ai une politique différente, j'explique :
Si il y a email c'est que ça bannit, j'ai reçu comme vous des centaines (voire plus) de mails fail2ban, je préfère les avoir ces e-mails, ça donne de l'info quand des gus essayent de forcer la porte sans avoir à se taper les logs en permanence.

Pour moi un type qui tape des mots de passe sur ssh ou proftpd 2 fois de suite je dégage pour un an !

J'ai de moins en moins de mails, puisque les scans se font via les mêmes ip en boucle, si cette ip est vérolée elle le restera surement un moment donc le ban d'un an est justifié.
Il y a une semaine : 80 mails/jours, ce week end : 4.

Si une ip d'un client réel vient à être bloquée, les remontées via le support technique peuvent débloquer au cas par cas les ip "légitimes"

réglages de mon jail.local :
dans [ssh-iptable] et [proftpd-iptables]
maxretry = 2
bantime = 31556926
findtime = 30

et j'ai un script pour voir tout ça : (copié dans le /usr/bin)
#!/bin/sh
clear
echo "-------------------------------------------"
echo "--------- DIAG BAN ----------"
echo "-------------------------------------------"
fail2ban-client status ssh-iptables
echo "-------------------------------------------"
fail2ban-client status proftpd-iptables
echo "-------------------------------------------"
tail -n 6 /home/log/secure
echo "-------------------------------------------"

Artus
14/12/2014, 16h08
Citation Envoyé par hmpnet
Hello,

Juste pour me rassurer depuis quelques jours les mails tombent par dizaine voir plusieurs dizaines, avant que quelques-uns !...

Chez vous aussi ?

Amitié
Paul
il faut utiliser ftpshut et fermer le service proftpd sinon il y a un risque
après tu n'auras plus de messages
pour utiliser de nouveau ce système préhistorique tu utilises la même commande avec -R et tu relances le service
mais il vaut mieux tout faire en ssh après avoir changé le port

#ftpshut now "voir l'admin pour utiliser FTP"

puis si tu veux de nouveau utiliser le port

#ftpshut -R
#service proftpd restart

et ainsi de suite

bbr18
11/12/2014, 11h08
oui c'est général, ça se compte par centaines, parfois milliers

hmpnet
11/12/2014, 10h24
Hello,

Juste pour me rassurer depuis quelques jours les mails tombent par dizaine voir plusieurs dizaines, avant que quelques-uns !...

Chez vous aussi ?

Amitié
Paul

Freemaster
10/12/2014, 13h17
il me semble qu'il y a même action_mwl
mais suis revenu également à action_
500 mails dans une journée

bbr18
10/12/2014, 11h55
quels problèmes veux-tu que ça cause ?
Code:
# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
si tu regardes les lignes des options, tu verras que c'est juste des choses en moins (pas le whois, pas d'envoi de mail, etc.)
mais le bannissement des ip se fait dans tous les cas.

Lolo75
10/12/2014, 11h44
J'ai le même besoin.

Est ce que vous pouvez confirmer que le modification ne cause pas d'autres problèmes ?

dans jail.conf tu remplaces :
action = %(action_mw)s

par :
action = %(action_)s

sukkoi30
19/11/2014, 10h17
bonjour,

quand je lance fail2fan sur ma release 3 j'obtiens ça :

Démarrage de fail2ban*: WARNING 'usedns' not defined in 'php-url-fopen'. Using default one: 'warn'
WARNING 'action' not defined in 'php-url-fopen'. Using default one: ''
WARNING 'usedns' not defined in 'dovecot-iptables'. Using default one: 'warn'
WARNING 'usedns' not defined in 'named-refused-tcp'. Using default one: 'warn'
WARNING 'usedns' not defined in 'ssh-iptables'. Using default one: 'warn'
WARNING 'usedns' not defined in 'postfix-tcpwrapper'. Using default one: 'warn'
WARNING 'usedns' not defined in 'ssh-ipfw'. Using default one: 'warn'
WARNING 'usedns' not defined in 'named-refused-udp'. Using default one: 'warn'
WARNING 'usedns' not defined in 'vsftpd-notification'. Using default one: 'warn'
WARNING 'usedns' not defined in 'ssh-tcpwrapper'. Using default one: 'warn'
WARNING 'usedns' not defined in 'apache-tcpwrapper'. Using default one: 'warn'
WARNING 'usedns' not defined in 'apache-shorewall'. Using default one: 'warn'
WARNING 'usedns' not defined in 'proftpd-iptables'. Using default one: 'warn'
WARNING 'usedns' not defined in 'lighttpd-fastcgi'. Using default one: 'warn'
WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default one: ''
WARNING 'usedns' not defined in 'apache-badbots'. Using default one: 'warn'
WARNING 'usedns' not defined in 'vsftpd-iptables'. Using default one: 'warn'
WARNING 'usedns' not defined in 'sasl-iptables'. Using default one: 'warn'
[ OK ]

et je reçois plus les mails me prévenant d'un blocage

une idée ? merci d'avance

Freemaster
17/11/2014, 17h53
dans jail.conf tu remplaces :
action = %(action_mw)s

par :
action = %(action_)s

kevin777
17/11/2014, 17h28
Bonjour,
Je reçois un mail de notification "[Fail2Ban] ProFTPD: banned" à chaque bannissement.
J'ai bien tenté de modifier les fichiers de conf dans le dossier /etc/fail2ban.
Mais les modifications ne sont pas conservées après le redémarrage du service faail2ban.
Savez-vous comment bloquer l'envoi de ces mails ?
D'avance merci.