Ubuntu-fr

Fr33tux

Notification fail2ban

Bonjour,

Sous Ubuntu Server 12.04.1, j'utilise fail2ban v0.8.6.
Il fonctionne bien, mais je n'arrive pas à régler correctement la notification par mail..
J'utilise PostFix comme serveur mail, et je souhaiterais être notifié à chaque bannissement..

J'ai suivi ceci, mais sans succès..

Avez-vous une idée du problème ?

Merci ! :-)

bruno

Re : Notification fail2ban

Est-ce que tu arrives as envoyer un courriel à l'utilisateur défini dans "destemail" et à le recevoir ?

Fr33tux

Re : Notification fail2ban

Oui, cette adresse est utilisée pour les notifications denyhosts par exemple..

bruno

Re : Notification fail2ban

Ok, c'est donc juste un problème de configuration fail2ban. Est-ce que tu as bien ces lignes dans ton jail.local :

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s

Tu dois obligatoirement utiliser action_mw ou action_mwl pour qu'un mail soit envoyé.

Fr33tux

Re : Notification fail2ban

Oui, je pense aussi.. Mais ça fait un moment que je suis dessus sans arriver à résoudre le problème :S

J'ai ceci, donc oui :

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

Sinon, ça ne serait pas une question de "mta ?

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

Merci à toi :-)

bruno

Re : Notification fail2ban

Et non regarde bien mon code

Ta ligne est :

action = %(action_)s

alors qu'elle devrait être :

action = %(action_mwl)s

Fr33tux

Re : Notification fail2ban

Ah oui effectivement :-)

Je l'ai donc modifiée.

Cependant (ça dérive du sujet initial, dis-moi si c'est gênant..), j'observe ces erreurs dans le log de fail2ban :

2012-10-13 11:56:20,797 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-Apache-w00tw00t returned 100
2012-10-13 11:56:20,798 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2012-10-13 11:56:20,803 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp --dport 80 -j fail2ban-Apache-w00tw00t
iptables -F fail2ban-Apache-w00tw00t
iptables -X fail2ban-Apache-w00tw00t returned 100

Je n'arrive pas à trouver grand chose sur ces erreurs..
Donc si le problème de mail n'en était pas un, mais était juste une conséquence d'un dysfonctionnement d'iptables ? :s

Merci :-)

bruno

Re : Notification fail2ban

Ce n'est pas un dysfonctionnement d'iptables c'est ce machin là : fail2ban-Apache-w00tw00t qui met le bazar. Je ne sais pas d'où cela vient, ce n'est pas dans le paquet fail2ban des dépôt, c'est donc un truc que tu as installé.

Dernière modification par bruno (Le 13/10/2012, à 15:01)

Fr33tux

Re : Notification fail2ban

Oui, j'utilise ceci :

[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath = /var/log/apache2/access*.log
maxretry = 1

accompagné de cela :

[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath = /var/log/apache2/access*.log
maxretry = 1

(issu de la page doc de fail2ban).

Et apparemment, cette règle fonctionne (d'après le logwatch du jour) :

 --------------------- fail2ban-messages Begin ------------------------


 Banned services with Fail2Ban:                          Bans:Unbans
    apache-w00tw00t:                                        [  1:5  ]

bruno

Re : Notification fail2ban

As-tu vraiment besoin de cette règle ? Je te conseille de la désactiver et de voir ensuite si tout fonctionne. Ce truc est présent dans la doc a titre d'exemple, mais cela n'a franchement aucun intérêt d'utiliser fail2ban si tes logs sont pleins de ce type de requête.

Fr33tux

Re : Notification fail2ban

Ok.
Je l'ai désactivée.

Non, je n'ai pas uniquement ces requêtes, mais vu que j'en ai chaque jour, je pensais que mettre une règle pour les contrer serait utile..

Par contre, lorsque j'effectue "Iptables -L" pour observer les règles mises en place par fail2ban, j'obtiens ce message :

iptables v1.4.12: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ca signifie quoi ? :s

Merci encore à toi ;-)

bruno

Re : Notification fail2ban

Ça c'est pas normal du tout...
iptables_filter est un module du noyau il devrait être présent et chargé.

Quelle est la version de ton noyau ? Voir le résultat de la commande uname -r

Quel est le résultat de la commande : modprobe -l | grep iptable ?

Fr33tux

Re : Notification fail2ban

Pour le noyau :

3.2.13-grsec-xxxx-grs-ipv6-64

Et pour la seconde commande (elle sert à lister les modules du noyau chargés et à chercher iptable dans la liste ?)  :

FATAL: Could not load /lib/modules/3.2.13-grsec-xxxx-grs-ipv6-64/modules.dep: No such file or directory

bruno

Re : Notification fail2ban

C'est quoi ce noyau ? Ce n'est pas un noyau officiel ça ressemble bien aux trucs utilisés par OVH sur leurs Kimsufi (noyaux monolithiques, c'est à dire pas de modules). Si c'est bien le cas tu ne pourra pas utiliser la table "filter" à moins de changer de noyau.
Le mieux serai sans doute de poser la question sur les forums OVH/Kimsufi

Fr33tux

Re : Notification fail2ban

Oui, c'est bien cela :-) (Chapeau pour avoir reconnu !).

Du coup il n'y a aucun moyen mis à part un changement de noyau ?

Je vais voir du côté de Kimsufi alors..

Merci !