[Résolu] Fail2ban + Pure-FTPd
Fail2ban + Pure-FTPd [Résolu] - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 03-07-2009 à 13:42:15
Je n'ai pas activé fail2ban pour mon pure-ftpd, je vais essayer et je te tiens au courant. ![[:drap]](https://forum-images.hardware.fr/images/perso/drap.gif "[:drap]")
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 03-07-2009 à 13:44:02
Merci bien! 
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 03-07-2009 à 13:53:57
Tu as ajouté une section dans le jail.conf ?
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 03-07-2009 à 14:01:56
Ouaip je te montre :
Code :
|
pour la ligne "port = ftp,ftp-data,ftps,ftps-data" j'ai essayé avec seulement "ftp" et avec les autres, mais rien n'a changé...
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 03-07-2009 à 14:26:23
Alors : l'expression "livrée" avec fail2ban n'a pas l'air de fonctionner. fail2ban démarre mais ne détecte rien. Par contre avec celle que tu as indiqué dans ton fichier je n'ai pas de problème :
| Citation : 2009-07-03 14:21:18,839 fail2ban.actions: WARNING [pure-ftpd] Ban 192.168.0.1 |
Voici mon filter.d/pure-ftpd.conf :
ruliane@serveur13:~$ cat /etc/fail2ban/filter.d/pure-ftpd.conf |
Et un extrait de mon jail.conf :
[pure-ftpd] |
Donc je ne vois pas d'où ça vient. Dans le log de fail2ban, quand tu lance le service tu as bien quelque chose comme ça ?
2009-07-03 14:08:35,659 fail2ban.jail : INFO Creating new jail 'pure-ftpd' |
Message édité par Ruliane le 03-07-2009 à 14:27:23
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 03-07-2009 à 16:08:17
Ça marche! En fait j'avais un apostrophe qui s'était glissé à la fin de ma regex lorsque j'ai fais un copier coller de celle-ci suite à mon essai avec grep ce qui fait qu'elle ne fonctionnait pas ![[:ddr555]](https://forum-images.hardware.fr/images/perso/ddr555.gif "[:ddr555]")
Merci beaucoup!
EDIT : le seul truc que j'ai pas compris c'est ce message de fail2ban au restart :
| Citation : ERROR Invalid argument ['ftp-data'] in 'name=pure-ftpd, port=ftp,ftp-data' |
M'enfin ça marche très bien avec seulement le port "ftp", donc bon, en attendant je scrute toujours mes logs (vive logcheck) au cas où un petit malin arriverait quand même à jouer avec mon serveur ![[:huit]](https://forum-images.hardware.fr/images/perso/huit.gif "[:huit]")
.
NB: sujet résolu!
Message édité par TizeN le 03-07-2009 à 16:10:36
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 03-07-2009 à 17:50:37
Si tu précises le port 20 au lieu du ftp-data ?
Message édité par Ruliane le 03-07-2009 à 17:50:42
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 03-07-2009 à 18:02:27
La même chose 
...
M'enfin de toute façon ça marche avec seulement le port 21, donc pas de quoi s'inquièter 
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 04-07-2009 à 10:58:19
Je ne savais pas que les règles de base étaient foireuses, quand je l'essaye (Fail2ban) sur mon serveur SSH, ça ne faire rien. Je vais le réinstaller et chercher 
Marsh Posté le 04-07-2009 à 14:14:32
Personnellement je n'ai eu que la règle de pure-ftpd qui était foireuse, le reste fonctionne très bien à partir du moment où tu modifie bien le port de chaque service dans /etc/services .
J'ai cherché pendant bien 1h la première fois avant de penser à changer le port SSH par défaut utilisé par le système ![[:god]](https://forum-images.hardware.fr/images/perso/god.gif "[:god]")
.
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 04-07-2009 à 21:47:10
Moi ma config pour SSH était bonne dès le début. Aucun port à modifier 
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 04-07-2009 à 21:47:57
Je ne suis pas sur le port par défaut sur mon serveur SSH c'est pour ça
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE
Marsh Posté le 04-07-2009 à 21:49:27
Ah OK
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Marsh Posté le 05-07-2009 à 12:24:17
Personnellement, j'écoute aussi sur le port 22 mais quand je simule une attaque, il s'en fout
Marsh Posté le 05-07-2009 à 13:08:50
| Gavrinis a écrit : Personnellement, j'écoute aussi sur le port 22 mais quand je simule une attaque, il s'en fout |
Ton /etc/services est correctement configuré ? Normalement aucune modification à faire, mais on sait jamais. Vérifie aussi tes regex, voilà les miennes (c'est celles par défaut) :
|
---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Sujets relatifs:
- [Résolu] Serveur WEB derrière un NAT qu'on ne peut pas configurer
- [Résolu] Créer réseau Wifi avec connexion internet via une box en Wifi
- Enigme reseau pour expert seulement (resolu)
- [résolu]Se connecter avec une adresse orange à msn
- Pb VPN windows xp Pro non résolu aprés recherches
- [résolu] Prendre le contrôle à distance d'un PC
- IIS + SLL, HTTPS non fonctionnel [Résolu]
- [Résolu] Netgear WNR854T : portée nulle ou mauvaise config ?
- [RESOLU] Ancienneté Free pour changement Freebox
- [Résolu] Longueur de câble, parasites ou hub Freebox ?
Marsh Posté le 03-07-2009 à 13:13:15
Bonjour à tous,
![[:god]](https://forum-images.hardware.fr/images/perso/god.gif "[:god]")
.
![[:huit]](https://forum-images.hardware.fr/images/perso/huit.gif "[:huit]")
:
![[:anne-sophie]](https://forum-images.hardware.fr/images/perso/anne-sophie.gif "[:anne-sophie]")
: ![[:ddr555]](https://forum-images.hardware.fr/images/perso/ddr555.gif "[:ddr555]")
!
.
Voilà, j'ai mon petit serveur @home tout tranquille dans son coin d'Internet, ET j'ai des boulets qui tentent de passer en brute force sur mon serveur FTP derrière leur proxy
Ce que j'aimerai
Que fail2ban fasse son job pour pure-ftpd comme pour les autres (comprendre le serveur ssh, mail, apache).
Le problème
Eh bah il le fait pas
J'ai fais pas mal de recherche sur ce problème, et à part des problèmes de regex merdées dans /etc/fail2ban/filter.d/pure-ftpd.conf j'ai rien trouvé.
J''en ai vu qui disait que ça marchait avec la regex d'origine, d'autre qu'il fallait échapper les caractères spéciaux, toussa, j'ai essayé différente regex, mais rien ne fonctionne, les vilains pas beau reviennent toujours
Pour vous faire une idée voici mon fichier de conf :
J'ai essayé la requête avec un petit grep avec cette regex un peu modifié (pas de <HOST> avec grep) sur le fichier de log avec succès, donc je soupçonne cet alias <HOST> de merder, même si sans l'alias ça ne fonctionne pas plus
Quelqu'un utilise fail2ban avec pure-ftpd sur une debian lenny et aurait rencontré ce problème?
Ou une nouvelle piste sur laquelle chercher?
Merci d'avoir lu =)
Message édité par TizeN le 03-07-2009 à 16:08:34
---------------
[VDS] AMD RX Vega 56 Sapphire Pulse 8Go OC, Matos WC (WB CPU/GPU, embouts rigide, capteurs, pompe, etc.), Routeurs WiFi Linksys WRT3200ACM, Réhobus NZXT Sentry LXE