Fail2ban fonctionne t'il correctement ?

Bonsoir,

Je viens de suivre le tuto http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html et d'installer Fail2ban j'ai juste modifié l'adresse mail, pour recevoir les alertes.

Comment savoir si Fail2ban fonctionne correctement sur le serveur ?
Mise à part l'envoi de mails.

Merci par avance
Modifié par dbl5 (16 Dec 2009 - 20:20)

essais de te connecter à plusieurs reprises en ssh sans donner le bon mot de passe. Au bout de quelques essais tu ne pourras plus rentrer en ssh sur ta machine.

Bonjour,

J'ai essayé au moins 20 fois sous Putty, mais après fermeture, j'ai pu me connecter de nouveau instantanément. D'ailleurs aucun mail d'alerte pour m'avertir du problème.

A+

Le service est correctement démarré ?
Tu a activé les règles pour ssh ?
Modifié par Benjamin-Ds (17 Dec 2009 - 12:30)

ps -ef | grep fail2ban

pour voir si ton fail2ban est actif

et regarde dans le fichier de conf /etc/fail2ban/jail.conf si dans la partie ssh enable est à true.

si tu as pas touché à la conf par défaut je crois que les rêgles sur ssh sont activés.

Regarde dans les logs si il y a quelque chose (/var/log/fail2ban.log)

Voilà tout est dit xD

Slt à tous,

Alors sous Putty j'obtiens avec la commande ps -ef | grep fail2ban
root 8733 1 0 Dec16 ? 00:00:01 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock
root 3655 3631 0 15:18 pts/0 00:00:00 grep fail2ban

Sinon pour le fichier de conf, moi j'ai jail.conf et jail.local
je dois travailler sur lequel ?

Dans les logs il y a un peu de contenu, mais rien qui est transmis par mail.

Merci pour ces renseignements.

A+

salut,

fail2ban est un script python qui fonctionne avec ton parefeu, donc on devrait aussi le voir dans la liste des règles du parefeu au moyen de la commande :

iptables -L

J'ajoute que fail2ban n'est pas limité à SSH, on peut l'utiliser (out of the box) pour protéger pas mal de services en se sortant un tant soit peu les doigts... faut juste savoir lire (certaines mauvaises langues diront décrypter) le fichier /etc/fail2ban/jail.conf et l'adapter à ses besoins en insistant notamment sur les passages où il est écrit enabled = false.

Bonjour,

J'ai effectivement réglé fail2ban pour protéger plusieurs services en plus de SSH, FTP entre autre !

Maintenant, j'ai aussi 2 fichiers log, fail2ban.log et fail2ban.log1, je me demande si cela est normal .. J'ai aussi 2 fichiers, jail.conf et jail.local et ne sais pas vraiment sur lequel je dois travailler pour la configuration.

J'en suis à me demander, si tout a été correctement installé surtout.

Est-il possible de faire une désinstallation PROPRE afin de réinstaller ce script ?

Merci

re,

voici ce qu'on peut lire au début du fichier /etc/fail2ban/jail.conf sous Debian Lenny :

6	#
7	# To avoid merges during upgrades DO NOT MODIFY THIS FILE
8	# and rather provide your changes in /etc/fail2ban/jail.local
9	#

on peut donc en déduire que le fichier /etc/fail2ban/jail.local est une spécialisation (ou customisation pour parler franglais) du précédent et donc qu'il le surcharge : le local a autorité sur le fichier par défaut et c'est donc le fichier local qu'il est vivement recommandé de créer et modifier,

quant à /var/log/fail2ban.log.1, c'est le logiciel logrotate qui est responsable de sa présence : de façon générale, tous les fichiers jounaux sont archivés quotidiennement par ce logiciel,

après 24h :
- journal.log => journal.log.1

après 48h :
- journal.log.1 => journal.log.2.gz

après 72h :
- journal.log.2.gz => journal.log.3.gz

etc... les journaux sont compressés par gzip dès la séquence n°2, on peut spécialiser tout ça en modifiant les fichiers de l'arbo /etc/logrotate.d

maintenant, si tu veux faire une réinstallation propre, c'est-à-dire sans laisser aucune trace d'un logiciel (comprendre: supprimer aussi les fichiers de configuration), utilise l'option --purge :

apt-get remove --purge fail2ban
apt-get install fail2ban

mais pour répondre à ton inquiétude, je ne pense pas qu'il y ait qquechose qui cloche dans ton installation de fail2ban.

Salut Etilem,

Merci beaucoup pour le temps que tu as passé pour toutes ces explications !

Je vais lire ça a tête reposée demain matin, car là, j'ai un peu le cerveau ramolli .. Pour jail.conf et jail.local, à un moment j'ai eu une merdouille et du coup j'ai fais un vulgaire copier/coller d'un fichier vers l'autre, pas la tête, pas la t^te

++