Citation:
Envoyé par Meeuuh
Par defaut "bantime = 86400" soit 24 heures et mon dernier log me donne:
|
Ok, le problème n'est donc pas à ce niveau. ça peut être un problème
du fichier de logs pas bien indiqué, cf plus bas.
Ça peut aussi venir d'une ligne dans laquelle on a laissé un "mail-whois" actif
au niveau de la directive "action" et il n'est pas toujours bien supporté,
mieux vaut mettre soit rien, soit "mail" tout court.
Citation:
|
Edit: plus simple, vous savez partager vos jail.conf avec les regex pour comparer ou bien vous préférez pas trôp.
|
Oui, voilà des exemples qui fonctionnent :
Dans j'ail.conf :
Citation:
[DEFAULT]
ignoreip = 127.0.0.1 ww.xx.yy.zz
bantime = 604800
findtime = 600
maxretry = 3
backend = auto
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables[name=Apache-w00tw00t,port=80,protocol=tcp]
logpath = /home/logs/ton_domaine_access_log
maxretry = 1
[apache-scan]
enabled = true
filter = apache-scan
action = iptables[name=Apache-scan,port=80,protocol=tcp]
logpath = /home/logs/ton_domaine_access_log
maxretry = 1
|
Plusieurs choses :
- bien sûr il y a d'autres règles que "apache-w00tw00t" et "apache-scan"
mais je me suis concentré sur celles qui devraient t'intéresser.
On peut aussi mettre tout pèle-mêle dans une seule règle, moi je préfère
avoir un minimum de détails du pourquoi une IP a été bannie.
- Au niveau de la ligne "ignoreip", à la place de "ww.xx.yy.zz"
on peut mettre son adresse IP fixe de Box ADSL si on en a une,
ça évitera de se faire bannir par son fail2ban, même en cas
de bêtises dans les regex.
- au niveau de la directive "logpath", il faut très attention
à bien indiquer le bon fichier de log, sinon fail2ban ne surveille
pas le bon fichier et du coup ne banni rien du tout.
Il faut aussi que les droits d'accès ne soient pas trop stricts et
n'empêchent pas fail2ban d'accéder au fichier de log
(non seulement le fichier lui même mais aussi les répertoires en amont)
dans "filter.d/apache-w00tw00t.conf" :
Citation:
[Definition]
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
ignoreregex =
|
et enfin dans "filter.d/apache-scan.conf" :
Code:
[Definition]
failregex = ^<HOST> -.*"GET \/nonexistenshit.*".*
^<HOST> -.*"GET .*xmlrpc\.php.*".*
^<HOST> -.*"GET .*html2text\.php.*".*
ignoreregex =
Dans ce dernier fichier, j'ai rajouté 3 lignes typiques d'un début de scan
plus important. Bien sûr on peut en rajouter d'autres si besoin est.
Une ligne supplémentaire commençant par ^<HOST> -.*"GET .*
puis la chaîne à rechercher et enfin .*".* pour terminer.
Tout ceci fonctionne pour un fail2Ban version 0.8.2
( "fail2ban-client -V" pour connaître sa version )
Edit : précision rajoutée à posterori : Les expressions régulières évoquées dans
ce message concerne la surveillance d'un fichier de tpe "access_log" d'Apache.
Si vous surveillez un fichier de type "error_log", il vous faut d'autres expressions
régulières, cf plus bas.