[Debian Sarge] HOWTO: Installer Iptables

[Fireslinger]

J'ai enfin réussi à trouver un moyen d'installer fail2ban (0.7.5-2) sur ma Debian Sarge alors je vous la fais partager. Ca intéressera les gens qui comme moi en ont marre des logs auth.log au kilomètre et aussi par sécurité évidemment.

D'abord modifions le fichier source des packages. Voici le mien :

Code:

# nano /etc/apt/sources.list

# OVH :
deb ftp://mir1.ovh.net/debian/ stable main
deb-src ftp://mir1.ovh.net/debian/ stable main

# debian-security
deb http://security.debian.org/ stable/updates main contrib
deb http://security.debian.org/ testing/updates main contrib

# miroir debian

#       stable
deb ftp://ftp.fr.debian.org/debian/ stable main contrib non-free
deb ftp://ftp.fr.debian.org/debian-non-US/ stable/non-US main contrib non-free

#       testing
deb ftp://ftp.fr.debian.org/debian/ testing main contrib non-free

#       dotdeb
deb http://packages.dotdeb.org stable all

#       postfix
deb http://debian.home-dn.net/sarge postfix-vda/

J'ai juste rajouté les sources testing (iptables je le rappelle est dispo en testing)

Maintenant on peux installer fail2ban après avoir maj les listes de packages

Code:

# apt-get update
# apt-get install fail2ban

Maintenant, si vous ne voulez pas vous retrouvez avec tous vos packages proposés à la MAJ vers leur version testing en faisant un apt-get upgrade, il va falloir éditer ( créer dans mon cas ) ce fichier :

Code:

# nano /etc/apt/preferences

# pas de packages testing
Package: *
Pin: release a=testing
Pin-Priority: -10

# exception : fail2ban
Package: fail2ban
Pin: release a=testing
Pin-Priority: 600

Pas difficile à comprendre
<=> Pas de packages testing sauf fail2ban

Passons à la config fail2ban. Elle ne se fait plus dans un fichier fail2ban.conf depuis je ne sais plus quelle version (j'ai d"ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf. Ce dernier pourrait être modifié par une maj alors en utilisant un fichier jail.local on est tranquil.

Code:

# nano /etc/fail2ban/jail.local

[ssh]

enabled = true
logfile = /var/log/auth.log
port = ssh
filter  = sshd
timeregex = S{3}s{1,2}d{1,2} d{2}:d{2}:d{2}
timepattern = %%b %%d %%H:%%M:%%S
failregex = : (?:(?:Authentication failure|Failed [-/\w+]+) for(?: illegal user)?|Illegal user|Did not receive identification) .* from (?P<host>\S*)
maxretry = 3
findtime = 600
bantime = 1800

Voila ma config pour SSH. Pour l'instant je n'ai pas essayé de l'utiliser ac autre chose, vsftpd notamment, donc mon fichier .local ne contient rien d'autre. A vous d'explorer le fichier jail.conf et les autres options si vous voulez
donc ici, un maximum de 3 mauvais essais ds un laps de 600s=10mn sinon ban de 1800s=30mn.

On redémarre fail2ban-client :

Code:

# fail2ban-client stop
Shutdown successful
# fail2ban-client start
WARNING 'findtime' not defined in 'apache-noscript'. Using default value
WARNING 'findtime' not defined in 'postfix'. Using default value
WARNING 'findtime' not defined in 'proftpd'. Using default value
WARNING 'findtime' not defined in 'vsftpd'. Using default value
WARNING 'findtime' not defined in 'couriersmtp'. Using default value
WARNING 'findtime' not defined in 'wuftpd'. Using default value
WARNING 'findtime' not defined in 'apache'. Using default value
2007-02-13 19:46:34,663 fail2ban.server : INFO   Starting Fail2ban
WARNING 'findtime' not defined in 'sasl'. Using default value

Les messages concernent des valeurs non renseigné pour les différents services mentionnés et donc ou les valeurs par défaut seront utilisés. On ne s'en occupe pas car on n'a que le service SSH activé.

On vérifie un coup comme ceci :

Code:

# fail2ban-client -d
fail2ban-client start
WARNING 'findtime' not defined in 'apache-noscript'. Using default value
WARNING 'findtime' not defined in 'postfix'. Using default value
WARNING 'findtime' not defined in 'proftpd'. Using default value
WARNING 'findtime' not defined in 'vsftpd'. Using default value
WARNING 'findtime' not defined in 'couriersmtp'. Using default value
WARNING 'findtime' not defined in 'wuftpd'. Using default value
WARNING 'findtime' not defined in 'apache'. Using default value
2007-02-13 19:46:34,663 fail2ban.server : INFO   Starting Fail2ban
WARNING 'findtime' not defined in 'sasl'. Using default value
ks34365:/etc/apt# fail2ban-client -d
WARNING 'findtime' not defined in 'apache-noscript'. Using default value
WARNING 'findtime' not defined in 'postfix'. Using default value
WARNING 'findtime' not defined in 'proftpd'. Using default value
WARNING 'findtime' not defined in 'vsftpd'. Using default value
WARNING 'findtime' not defined in 'couriersmtp'. Using default value
WARNING 'findtime' not defined in 'wuftpd'. Using default value
WARNING 'findtime' not defined in 'apache'. Using default value
WARNING 'findtime' not defined in 'sasl'. Using default value
['set', 'loglevel', 3]
['set', 'logtarget', '/var/log/fail2ban.log']
['add', 'ssh', 'polling']
['set', 'ssh', 'addlogpath', '/var/log/auth.log']
['set', 'ssh', 'maxretry', 3]
['set', 'ssh', 'failregex', ': (?:(?:Authentication failure|Failed [-/\\w+]+) for(?: illegal user)?|Illegal user|Did not receive identification) .* from (?P<host>\\S*)']
['set', 'ssh', 'addignoreip', '127.0.0.1']
['set', 'ssh', 'findtime', 600]
['set', 'ssh', 'bantime', 1800]
['set', 'ssh', 'ignoreregex', '']
['set', 'ssh', 'addaction', 'iptables']
['set', 'ssh', 'actionban', 'iptables', 'iptables -I fail2ban-<name> 1 -s <ip> -j DROP']
['set', 'ssh', 'actionstop', 'iptables', 'iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>\niptables -F fail2ban-<name>\niptables -X fail2ban-<name>']
['set', 'ssh', 'actionstart', 'iptables', 'iptables -N fail2ban-<name>\niptables -A fail2ban-<name> -j RETURN\niptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>']
['set', 'ssh', 'actionunban', 'iptables', 'iptables -D fail2ban-<name> -s <ip> -j DROP']
['set', 'ssh', 'actioncheck', 'iptables', 'iptables -L INPUT | grep -q fail2ban-<name>']
['set', 'ssh', 'setcinfo', 'iptables', 'protocol', 'tcp']
['set', 'ssh', 'setcinfo', 'iptables', 'name', 'ssh']
['set', 'ssh', 'setcinfo', 'iptables', 'port', 'ssh']
['start', 'ssh']

On retrouve bien nos valeurs spécifiées dans notre fichier jail.local

[Fireslinger]

Il ne reste qu'à attendre une attaque :

Fichier auth.log :

Code:

(...)
Feb 13 13:39:12 rescue sshd[8548]: Illegal user staff from 91.121.13.67
	Feb 13 13:39:13 rescue sshd[8548]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:13 rescue sshd[8548]: Failed password for illegal user staff from 91.121.13.67 port 33706 ssh2
Feb 13 13:39:13 rescue sshd[15030]: Illegal user sales from 91.121.13.67
	Feb 13 13:39:13 rescue sshd[15030]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:13 rescue sshd[15030]: Failed password for illegal user sales from 91.121.13.67 port 33660 ssh2
Feb 13 13:39:13 rescue sshd[25386]: Illegal user recruit from 91.121.13.67
	Feb 13 13:39:13 rescue sshd[25386]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:13 rescue sshd[25386]: Failed password for illegal user recruit from 91.121.13.67 port 60059 ssh2
Feb 13 13:39:13 rescue sshd[11518]: Illegal user alias from 91.121.13.67
	Feb 13 13:39:13 rescue sshd[11518]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:13 rescue sshd[11518]: Failed password for illegal user alias from 91.121.13.67 port 53926 ssh2
Feb 13 13:39:13 rescue sshd[15028]: Illegal user office from 91.121.13.67
	Feb 13 13:39:13 rescue sshd[15028]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:13 rescue sshd[15028]: Failed password for illegal user office from 91.121.13.67 port 34150 ssh2
Feb 13 13:39:14 rescue sshd[20652]: Illegal user samba from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[20652]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[20652]: Failed password for illegal user samba from 91.121.13.67 port 58167 ssh2
Feb 13 13:39:14 rescue sshd[32662]: Illegal user tomcat from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[32662]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[32662]: Failed password for illegal user tomcat from 91.121.13.67 port 36191 ssh2
Feb 13 13:39:14 rescue sshd[9237]: Illegal user webadmin from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[9237]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[9237]: Failed password for illegal user webadmin from 91.121.13.67 port 37912 ssh2
Feb 13 13:39:14 rescue sshd[12774]: Illegal user spam from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[12774]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[12774]: Failed password for illegal user spam from 91.121.13.67 port 47125 ssh2
Feb 13 13:39:14 rescue sshd[26777]: Illegal user virus from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[26777]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[26777]: Failed password for illegal user virus from 91.121.13.67 port 57316 ssh2
Feb 13 13:39:14 rescue sshd[3304]: Illegal user cyrus from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[3304]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[3304]: Failed password for illegal user cyrus from 91.121.13.67 port 42873 ssh2
Feb 13 13:39:14 rescue sshd[5521]: Illegal user oracle from 91.121.13.67
	Feb 13 13:39:14 rescue sshd[5521]: error: Could not get shadow information for NOUSER
	Feb 13 13:39:14 rescue sshd[5521]: Failed password for illegal user oracle from 91.121.13.67 port 38288 ssh2
Feb 13 13:40:01 rescue CRON[20049]: (pam_unix) session opened for user root by (uid=0)

Fichier fail2ban.log :

Code:

2007-02-13 13:39:14,870 fail2ban.actions: WARNING [ssh] Ban 91.121.13.67
2007-02-13 13:40:02,889 fail2ban.actions: WARNING [ssh] 91.121.13.67 already banned
2007-02-13 14:09:14,904 fail2ban.actions: WARNING [ssh] Unban 91.121.13.67

On compte 12 essais. Ceci s'explique par le fait que fail2ban doit attendre le log de ces tentatives pour agir. Cela a pris 2secs ce qui a laissé le temps d'essayer 12fois.
Résultat 13:39:14 -> 14:09:14 Ban et un log (et un admin) tranquille

J'espère que ca vous aidera

[papy]

vivement que je rentre en france pour tester sa sur mon serv lan

[sadkun]

Très bon How-To, tu devrais préciser dans le titre que c'est aussi pour fail2ban ça devrait intéresser un bon paquet de monde

[onet]

Attention, évitez de faire un apt-get upgrade avec ces sources, si vous voulez rester en stable . Car avec ces infos, ca fait passer le serveur en Etch !

Onet

[Fireslinger]

Citation:

Très bon How-To, tu devrais préciser dans le titre que c'est aussi pour fail2ban ça devrait intéresser un bon paquet de monde

Lol, je voulais mettre fail2ban pas iptables, j'avais pas remarqué ! Merci sinon

Citation:

Attention, évitez de faire un apt-get upgrade avec ces sources, si vous voulez rester en stable . Car avec ces infos, ca fait passer le serveur en Etch !

Onet

Lis le tuto en entier ! Y'as pas de risque en créant un fichier preference

[Fireslinger]

J'arrive pas à changer le titre

[onet]

oups, je l'avais survolé

Tu as fait les choses en ordre, gg

Onet

[sadkun]

Bon j'ai suivi ton tuto, marre de ma vieille fial2ban xD, un grand merci

Pour ceux à qui ça pourrait arriver (oui j'ai honte m'enfin)

Si vous supprimer fail2ban :

apt-get remove fail2ban ne suffit pas il faut faire un

dpkg -P fail2ban

Pour tout retirer, ainsi lors de l'installation de fail2ban vous aurez la dernière version

[Fireslinger]

J'ai changé le bantime de 30mn à une semaine !
J'en avais assez des gens qui reviennent le lendemain pour réesayer..
Tiens ce matin br137-2-82-238-127-232.fbx.proxad.net, c'est une dédibox ?