Problème avec Fail2ban

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Problème avec Fail2ban

mechkurt

J'ai un soucis avec un fail2ban sur un de mes dédies chez OVH.
Il ne fait pas son boulot (je ne reçoit aucun mail de ban SSH alors que sur mes autres dédiés c'est au moins 5 par jours).
Je précise que l'envoi de mail fonctionne et que j'ai un autre dédié qui est, pour autant que je puisses le dire, identiques (machine prise à peu de temps d'écart, même version de Plesk et avec le même OS : Centos 6.5).

Premier truc, dans les logs de fail2ban j'ai énormément de :

Code :

2013-12-19 16:15:59,136 fail2ban.filter : DEBUG Processing line with time:1387191041.0 and ip:91.121.162.124
2013-12-19 16:15:59,136 fail2ban.filter : DEBUG Ignore line since time 1387191041.0 < 1387466159.14 - 600
2013-12-19 16:15:59,137 fail2ban.filter : WARNING Determined IP using DNS Reverse Lookup: ks360316.kimsufi.com = ['91.121.162.124']

Mais je ne sais pas ce que c'est, ni si ça a un rapport...

Et il s'est coupé ce matin avec :

Code :

2013-12-20 03:21:29,580 fail2ban.filter : DEBUG Callback for Event: <Event dir=False mask=0x2 maskname=IN_MODIFY name='' path=/var/log/secure pathname=/var/log/secure wd=2 >
2013-12-20 03:21:29,581 fail2ban.filter.datedetector: DEBUG Sorting the template list
2013-12-20 03:21:37,491 fail2ban.filter : DEBUG Callback for Event: <Event dir=False mask=0x100 maskname=IN_CREATE name=logrotate_temp.0a1ReB path=/var/log pathname=/var/log/logrotate_temp.0a1ReB wd=1 >
2013-12-20 03:21:37,491 fail2ban.filter : DEBUG Ignoring creation of /var/log/logrotate_temp.0a1ReB we do not monitor
2013-12-20 03:21:37,515 fail2ban.comm : DEBUG Command: ['ping']
2013-12-20 03:21:37,583 fail2ban.comm : DEBUG Command: ['stop', 'all']
2013-12-20 03:21:37,583 fail2ban.server : INFO Stopping all jails
2013-12-20 03:21:37,583 fail2ban.server : DEBUG Stopping jail ssh-iptables
2013-12-20 03:21:38,517 fail2ban.actions: DEBUG Flush ban list
2013-12-20 03:21:38,517 fail2ban.actions: WARNING [ssh-iptables] Unban 222.175.114.134
2013-12-20 03:21:38,517 fail2ban.actions.action: DEBUG iptables -n -L INPUT | grep -q 'fail2ban-SSH[ \t]'
2013-12-20 03:21:38,520 fail2ban.actions.action: DEBUG iptables -n -L INPUT | grep -q 'fail2ban-SSH[ \t]' returned successfully
2013-12-20 03:21:38,520 fail2ban.actions.action: DEBUG iptables -D fail2ban-SSH -s 222.175.114.134 -j DROP
2013-12-20 03:21:38,521 fail2ban.actions.action: DEBUG iptables -D fail2ban-SSH -s 222.175.114.134 -j DROP returned successfully
2013-12-20 03:21:38,522 fail2ban.actions.action: DEBUG Nothing to do
2013-12-20 03:21:38,522 fail2ban.actions: WARNING [ssh-iptables] Unban 61.147.116.58
2013-12-20 03:21:38,522 fail2ban.actions.action: DEBUG iptables -n -L INPUT | grep -q 'fail2ban-SSH[ \t]'
2013-12-20 03:21:38,524 fail2ban.actions.action: DEBUG iptables -n -L INPUT | grep -q 'fail2ban-SSH[ \t]' returned successfully
2013-12-20 03:21:38,524 fail2ban.actions.action: DEBUG iptables -D fail2ban-SSH -s 61.147.116.58 -j DROP
2013-12-20 03:21:38,526 fail2ban.actions.action: DEBUG iptables -D fail2ban-SSH -s 61.147.116.58 -j DROP returned successfully
2013-12-20 03:21:38,526 fail2ban.actions.action: DEBUG Nothing to do
2013-12-20 03:21:38,526 fail2ban.actions.action: DEBUG iptables -D INPUT -p tcp --dport ssh -j fail2ban-SSH
iptables -F fail2ban-SSH
iptables -X fail2ban-SSH
2013-12-20 03:21:38,529 fail2ban.actions.action: DEBUG iptables -D INPUT -p tcp --dport ssh -j fail2ban-SSH
iptables -F fail2ban-SSH
iptables -X fail2ban-SSH returned successfully

On dirait un problème due au logrotate similaire à ça : https://github.com/fail2ban/fail2ban/issues/44
Mais je ne comprends pas la solution donné :

Citation :

Quick fix for this, for users, is to use

backend = gamin

to switch back to gamin for file change monitoring.

Et ça n'explique pas pourquoi j'ai ça sur ce serveur uniquement et pas sur l'autre !

Message édité par mechkurt le 20-12-2013 à 11:07:45

Publicité

e_esprit

Truc bête qui m'est déjà arrivé : les timestamp dans tes logs sont-ils à l'heure ? (c'est à dire pas décalé d'une heure par exemple)

Ca arrive quand le service syslog est lancé, puis qu'on change la timezone de la machine sans le relancer, les logs restent sur l'ancien timezone, du coup fail2ban estime que la règle ne s'applique plus.

Je dis ça parce que les premiers logs que tu mentionnes ressemblent à ce type de problème.

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

mechkurt

J'ai reboot la machine "au cas ou" mais j'ai plus l'impression que c'est un problème de log-rotate (après c'est ptet lié).

Elle à recoupé dimanche à 3 H du matin donc je suis resté 24 H sans Fail2Ban, c'est reloud ce truc...

---------------
D3

Gravitys

j'ai le même souci, as tu trouvé la solution ?

FORUM HardWare.fr

Systèmes & Réseaux Pro

Sécurité

Problème avec Fail2ban

Sujets relatifs
VISTA - Problème connexion routeur et internet	Impossible connecter iPhone à Active Sync
problème WDS et client léger	Problème d'accès et de débit entre poste XP et 7
Problème accès à distance hdd iomega home media network storage	[RESOLU] problème dns sur un lab
Problème résolution DNS / Ping --> changement de switchs	Probléme de remonté OCS & Trend Micro
Problème connexion internet	Wifi invité et problème de conflit d'adresse IP
Plus de sujets relatifs à : Problème avec Fail2ban

Page générée en 0.056 secondes