fail2ban : sshd jail ne fonctionne pas (encore)

Thu, 11 Jul 2019 08:06:49 -0700 

salut la liste,

Soient 2 serveurs quasi-identiques sur stretch à jour. fail2ban
fonctionne correctement sur le serveur B mais pas sur le serveur A. Pour l'instant je n'ai paramétré qu'une seule prison sshd. 


serveur A:
# cat defaults-debian.conf
[sshd]
port = 2222
enabled = true
maxretry = 2

serveur B:
# cat ../jail.local
[sshd]
port = 2222
enabled = true
maxretry = 2

Les /etc/ssh/ssd_confid des 2 serveurs sont identiques.

Serveur A et B:
# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 2222 -j f2b-sshd
-A f2b-sshd -j RETURN


/var/log/fail2ban.log des Serveurs A et B sont identiques:

 Stopping all jails
 Jail 'sshd' stopped
 Exiting Fail2ban
 Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
 Connected to fail2ban persistent database
'/var/lib/fail2ban/fail2ban.sqlite3'
 Creating new jail 'sshd'
 Jail 'sshd' uses pyinotify {}
 Initiated 'pyinotify' backend
 Set jail log file encoding to UTF-8
 Set maxRetry = 2
 Added logfile = /var/log/auth.log
 Set findtime = 600
 Set banTime = 600
 Set maxlines = 10
 Jail sshd is not a JournalFilter instance
 Jail 'sshd' started

/etc/hosts.allow sur les 2 serveurs sont les même.

Bref, c'est tout pareil (à priori).

Quand je fais un ssh toto@serveurB:2222 et que je rentre un mauvais mot
de passe, fail2ban me bannit: OK.

Dans le auth.log du serveur B, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44  user=toto
Failed password for toto from 11.22.33.44 port 40664 ssh2

Quand je fais un ssh toto@serveurA:2222 et que je rentre un mauvais mot
de passe, fail2ban ne me bannit pas et je n'ai rien dans fail2ban.log.

Dans le auth.log du serveur A, j'ai :
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
tty=ssh ruser= rhost=11.22.33.44  user=toto
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Failed password for toto from 11.22.33.44 port 41342 ssh2
Connection closed by 11.22.33.44 port 41342 [preauth]
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
rhost=11.22.33.44  user=toto

Tout se passe comme si je n'avais pas démarré fail2an sur le serveur A.

Si vous avez une piste ou une idée, une vanne ou un bon mot.... je prends!

merki,

f.
        























					Répondre à