Fail2ban, jail.conf et tentatives de connexions ssh

tize · Le 07/12/2013, à 15:37

Bonjour,
je suis débutant et je loue un petit serveur dédié debian chez ovh(kimsufi).
en regardant les logs (/var/log/auth.log) j'ai remarqué quelque chose d'étrange :

Dec  6 12:07:15 ks358444 sshd[599]: Failed password for root from 62.210.209.180 port 63372 ssh2
Dec  6 12:07:17 ks358444 sshd[601]: Failed password for root from 62.210.209.180 port 63374 ssh2
Dec  6 12:07:17 ks358444 sshd[603]: Failed password for root from 62.210.209.180 port 63375 ssh2
Dec  6 12:07:17 ks358444 sshd[606]: Failed password for root from 62.210.209.180 port 63377 ssh2
Dec  6 12:07:17 ks358444 sshd[605]: Failed password for root from 62.210.209.180 port 63376 ssh2
Dec  6 12:07:17 ks358444 sshd[609]: Failed password for root from 62.210.209.180 port 63390 ssh2

ce qui m'étonne ce ne sont pas vraiment les tentatives mais leurs répétitions avec la même adresse IP, il me semble que cela ne devrait pas être possible avec la configuration de mon jail.conf (/etc/fail2ban/jail.conf) :

[ssh]
enabled = true
port    = ssh,sftp
filter  = sshd
banaction = iptables-multiport[name=SSH, port=ssh, protocol=tcp]
findtime = 86400
logpath  = /var/log/auth.log
maxretry = 1
bantime = 86400

Je précise que mon serveur est à jour et que j'ai évidemment redémarré fail2ban...
Quelqu'un sait il pourquoi cela se produit ?
Bien cordialement.

bru38 · Le 07/12/2013, à 23:07

Salut !
Tu peux faire un

sudo fail2ban-client status

dis moi ce qu'elle te renvoi.

Est-ce que ton ssh est configuré sur le port 22 (par defaut)?
Je vois que t'a mis "Banaction", je peux me tromper mais tu es sur que c'est paq plutot "action"?

A+

tize · Le 08/12/2013, à 10:31

Salut,
merci pour la réponse, voici le résultat de fail2ban-client status :

Status
|- Number of jail:	1
`- Jail list:		ssh

Pour ta première question : oui
Pour la seconde je ne suis pas sûr...

bru38 · Le 08/12/2013, à 11:18

Tu peux me dire ce que tu as dans /var/log/fail2ban.log ?
Essaye de remplacer "banaction" par action..
J'ai cherché et même sur le wiki de fail2ban.org ils disent

action   = iptables[name=SSH, port=ssh, protocol=tcp]

A+

Dernière modification par bru38 (Le 08/12/2013, à 11:20)

tize · Le 08/12/2013, à 13:53

les logs se remettent à zero le dimanche... je n'ai donc rien en ce qui concerne 62.210.209.180 sinon :

2013-12-08 06:25:05,478 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2013-12-08 06:25:08,742 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2013-12-08 07:39:48,356 fail2ban.actions: WARNING [ssh] Unban 61.155.150.163
2013-12-08 08:18:24,558 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

Je vais tenter action à la place de banaction et vois ce que cela donne sur la durée...
Dans tous les cas merci pour tes conseils
A+

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/12/2013, à 15:37

Fail2ban, jail.conf et tentatives de connexions ssh

#2 Le 07/12/2013, à 23:07

Re : Fail2ban, jail.conf et tentatives de connexions ssh

#3 Le 08/12/2013, à 10:31

Re : Fail2ban, jail.conf et tentatives de connexions ssh

#4 Le 08/12/2013, à 11:18

Re : Fail2ban, jail.conf et tentatives de connexions ssh

#5 Le 08/12/2013, à 13:53

Re : Fail2ban, jail.conf et tentatives de connexions ssh

Pied de page des forums