Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Recherche

Menu

Accueil Association Documentation SLo Blog Projets Galerie

Forum

Langue

 

Le Forum

Vous n'êtes pas identifié.

Pages: 1

 

  • Index
  •  » Debian
  •  » Fail2ban : Unable to find a corresponding ip address

#1 20 Apr 2011 20:13:17

zero_janvier
Citoyen(ne)
 
Lieu: Siviriez
Date d'inscription: 12 Aug 2009
Messages: 20
Site web

Fail2ban : Unable to find a corresponding ip address

Salut les gens,

Mon serveur est en place, fonctionne bien. J'ai installé fail2ban de manière à limité les attaque par force brute. Mais :

A chaque démarrage de ma machine, j'ai l'information suivante :

Code:

2011-04-20 09:01:29,386 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-04-20 09:01:29,415 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-04-20 09:01:29,415 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-04-20 09:01:29,479 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-04-20 09:01:29,480 fail2ban.filter : INFO   Set maxRetry = 6
2011-04-20 09:01:29,482 fail2ban.filter : INFO   Set findtime = 600
2011-04-20 09:01:29,484 fail2ban.actions: INFO   Set banTime = 600
2011-04-20 09:01:29,636 fail2ban.jail   : INFO   Jail 'ssh' started
2011-04-20 09:01:31,036 fail2ban.filter : WARNING Unable to find a corresponding IP address for neades.net.ttu.edu
2011-04-20 09:01:35,899 fail2ban.filter : WARNING Unable to find a corresponding IP address for loft4992.serverloft.com
2011-04-20 09:01:35,925 fail2ban.filter : WARNING Unable to find a corresponding IP address for loft4992.serverloft.com
2011-04-20 09:01:35,954 fail2ban.filter : WARNING Unable to find a corresponding IP address for loft4992.serverloft.com

C'est toujours la même annonce. Est-ce que ma machine est hantée ???

Merci de votre aide !

Hors ligne

 

#2 20 Apr 2011 20:45:18

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: Fail2ban : Unable to find a corresponding ip address

Hello,

  Si je me rappelle bien, fail2ban va retraiter le log entier à chaque démarrage (pour être sur de ne rien rater entre le démarrage du réseau et celui de fail2ban.) Suivant la configuration de la rotation de tes logs, une erreur causée par une attaque peut y rester un moment.

  L'autre question est de savoir comment l'erreur se déclenche. C'est curieux parce que chez moi, sshd loggue des adresses, pas des noms de machine. C'est chose courante sur les machines un peu louches d'avoir un reverse invalide. Il se peut aussi que ca soit écrit quelque part dans la config de fail2ban comme exemple.

  Peux-tu nous poster ta config (jail.conf, la section relative a ssh, et le filter correspondant dans filter.d) ?

Hors ligne

 

#3 28 Mar 2012 09:05:31

Akira
Apôtre du libre
 
Date d'inscription: 12 Jan 2008
Messages: 70
Site web

Re: Fail2ban : Unable to find a corresponding ip address

Salut, j'ai le même soucis avec une config par défaut sous Debian Wheezy, je te transmet les configs :

Pour le jail.conf :

Code:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Pour le filter.d

Code:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]

_daemon = sshd

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Hors ligne

 

#4 28 Mar 2012 10:23:59

Tengu
Gourou(e) du libre
Lieu: La Tour-de-Peilz
Date d'inscription: 17 Nov 2004
Messages: 493
Site web

Re: Fail2ban : Unable to find a corresponding ip address

host neades.net.ttu.edu                                                                                                                                                                                                             
Host neades.net.ttu.edu not found: 3(NXDOMAIN)


par contre, pour l'autre, on dirait qu'il y a bien un enregistrement DNS...

Science sans conscience n'est que ruine de l'âme

https://twitter.com/swisstengu (compte twitter)
https://blog.tengu.ch/ (un blog parmis tant d'autres)

Hors ligne

 

 

Pages: 1

  • Index
  •  » Debian
  •  » Fail2ban : Unable to find a corresponding ip address

Pied de page des forums

Powered by FluxBB