Swisslinux.org

− The GNU/Linux crossroads in Switzerland −

 

Language

 

The Forum

You are not logged in.

  • Index
  •  » Debian
  •  » debian 10 - fail2ban - Aucune règle dans iptables

#1 09 Sep 2019 11:01:11

Didier100
Prêcheu(r|se) du libre
 
Registered: 11 Aug 2005
Posts: 133

debian 10 - fail2ban - Aucune règle dans iptables

Bonjour,

Je viens d'installer une Debian 10 sur un serveur virtuel (Proxmox) qui tourne pour le moment en local.
C'est un serveur de test pour me familiariser avec Debian 10.

J'ai installé fail2ban

Code:

sudo apt-get install fail2ban

puis j'ai fait un test en lancent la commande

Code:

sudo iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

En voulant modifiér le /etc/fail2ban/jail.conf j'ai lu qu'il ne faut pas modifier ce fichier

# YOU SHOULD NOT MODIFY THIS FILE.

et j'ai ainsi crée le fichier jail.local

Code:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

j'ai édité ensuite le fichier jail.local

Code:

sudo vim /etc/fail2ban/jail.local

et modifié une partie du code

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]
enabled = true
port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s

Puis j'ai redémarré fail2ban comme suite

Code:

sudo fail2ban-client restart

En exécutant

Code:

sudo iptables -L -n

j'ai toujours:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Aucune règle à été transcrite dans iptables!

La commande suivante

Code:

sudo fail2ban-client status

m'affiche

Status
|- Number of jail:      2
`- Jail list:   dropbear, sshd

On voit donc bel et bien que les deux règles ont été prise en compte en tout cas par fail2ban ...


La commande

Code:

apt-cache policy iptables

donne

iptables:
  Installé : 1.8.2-4
  Candidat : 1.8.2-4
Table de version :
*** 1.8.2-4 500
        500 http://deb.debian.org/debian buster/main i386 Packages
        100 /var/lib/dpkg/status

et la commande

Code:

apt-cache policy nftables

donne

nftables:
  Installé : (aucun)
  Candidat : 0.9.0-2
Table de version :
     0.9.0-2 500
        500 http://deb.debian.org/debian buster/main i386 Packages

Ma question: Que doit je faire pour que fail2ban me permet de transcrire / créer des règles dans iptables?

Merci d'avance pour votre aide wink




Dans le fichier

/var/log/syslog

j'ai trouvé ses messages

Aug 30 09:44:34 debian systemd[1]: Starting Fail2Ban Service...
Aug 30 09:44:34 debian systemd[1]: Started Fail2Ban Service.
Aug 30 09:44:34 debian fail2ban-server[783]:  Server already running
Aug 30 09:44:34 debian fail2ban-server[783]:  Async configuration of server failed
Aug 30 09:44:50 debian fail2ban-client[804]:  Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?
Aug 30 09:44:50 debian systemd[1]: fail2ban.service: Control process exited, code=exited, status=255/EXCEPTION
Aug 30 09:44:50 debian systemd[1]: fail2ban.service: Failed with result 'exit-code'.

après avoir exécuté les deux commandes suivantes:

Code:

sudo /etc/init.d/fail2ban start
sudo fail2ban-client restart

et pourtant:

Code:

user@debian:/var/log$ sudo fail2ban-client status
Status
|- Number of jail:      2
`- Jail list:   dropbear, sshd
user@debian:/var/log$

Pour information:

Version de fail2ban

Code:

apt-cache policy fail2ban

user@debian:/var/log$ sudo apt-cache policy fail2ban
fail2ban:
  Installé : 0.10.2-2.1
  Candidat : 0.10.2-2.1
Table de version :
*** 0.10.2-2.1 500
        500 http://deb.debian.org/debian buster/main i386 Packages
        100 /var/lib/dpkg/status
user@debian:/var/log$

Voici ce que donne la commande : 

Code:

sudo service fail2ban status

user@debian:/var/log$ sudo service  fail2ban status
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2019-08-30 10:12:02 CEST; 12min ago
     Docs: man:fail2ban(1)
  Process: 890 ExecStartPre=/bin/mkdir -p /var/run/fail2ban (code=exited, status=0/SUCCESS)
Main PID: 808 (fail2ban-server)
    Tasks: 0 (limit: 4915)
   Memory: 164.0K
   CGroup: /system.slice/fail2ban.service
           ‣ 808 /usr/bin/python3 /usr/bin/fail2ban-server --async -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid --loglevel I

août 30 10:12:02 debian systemd[1]: Starting Fail2Ban Service...
août 30 10:12:02 debian systemd[1]: Started Fail2Ban Service.
août 30 10:12:02 debian fail2ban-server[891]:  Server already running
août 30 10:12:02 debian fail2ban-server[891]:  Async configuration of server failed

Je tire votre attention sur l'extrait du message : Async configuration of server failed






J'ai effectué une réinstallation de Debian 10 et il met toujours impossible de faire fonctionner fail2ban avec iptables!!!

Le problème reste le même.

Par curiosité j'ai créée une autre machine virtuelle sur mon serveur PROXMOX de test avec une debian 9.9 et la je n'ai eu aucun problème à l'installer et de faire coopérer fail2ban avec iptables.

Sans y toucher à la configuration la règle ssh à été activé par défaut smile

root@debian:/home/user# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
root@debian:/home/user#

Quelqu'un a t-il réussi à faire fonctionner fail2ban avec iptables sous DEBIAN 10 ?

Last edited by Didier100 (09 Sep 2019 11:04:14)

Offline

 

#2 09 Sep 2019 16:26:39

claudep
Apôtre du libre
 
Registered: 19 May 2015
Posts: 61

Re: debian 10 - fail2ban - Aucune règle dans iptables

Tu as regardé ce qui arrive dans les logs si tu essaies des connexions SSH frauduleuses? Il n'est pas impossible que les règles ne soient insérées dans iptables seulement si fail2ban a quelque chose à y mettre.

Pour ma part, j'ai fait le pas de la transition vers nftables. J'ai dû rajouter ces lignes dans jail.local:
[DEFAULT]
banaction = nftables-multiport
banaction_allports = nftables-allports

Mise à part, ça fonctionne bien.

Offline

 

#3 09 Sep 2019 21:50:51

Didier100
Prêcheu(r|se) du libre
 
Registered: 11 Aug 2005
Posts: 133

Re: debian 10 - fail2ban - Aucune règle dans iptables

Bonjour Claudep,

Effectivement quand je me connecte avec putty sur ma machine virtuelle et quand je rentre 5 fois de suite une fausse combinaison de login/mot de passe
je suis banni durant 10 minutes ...

Ce qui est intéressant avec  Proxmox c'est qu'il me permet quand même me connecter via la console de Proxmox et voire ce qui se passe.

Je constaté que la chaine  f2b-sshd à été ajouté après la 5ème fausse entrée.

Un extrait de la commande
sudo iptables -L -n

Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  192.168.1.97         0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Une fois que les 10 minutes de bannissement se sont écoulé la chaine f2b-sshd reste dans iptables donc visible avec la commande

sudo iptables -L -n

Si j'arrête ma machine virtuelle avec la commande shutdown puis la redémarre de nouveau la chaine f2b-sshd ne figure plus dans iptables!

Il vas falloir que je m'habitue à ses changements bizarres de DEBIAN 10 alias BUSTER !

En tout cas un grand MERCI pour ton aide Claudep. wink

Last edited by Didier100 (09 Sep 2019 22:04:34)

Offline

 
  • Index
  •  » Debian
  •  » debian 10 - fail2ban - Aucune règle dans iptables

Board footer

Powered by FluxBB