Jail fail2ban Debian 11 log vsftpd

fallgaz · Janvier 2, 2024, 7:36pm

Bonjour,

je souhaiterai créer un jail pour que Fail2ban sous Debian 11 , bannisse une IP qui tente d’accéder à des dossiers dont elle n’a pas les droits lors de l’utilisation d’un FTP.
Cela se traduit par un ban suite à l’appartion de cette erreur dans le logs de vsftpd.log qui se situe dans /var/log : ue Jan 2 18:24:36 2024 [pid 3222] [devtest] FTP response: Client « 150.10.0.5 », « 550 Failed to change directory. »

Je n’arrive pas à mettre en place un jail fonctionnel, en fait je ne sais même pas quoi mettre dedans. Quelqu’un pourrait-il m’aider ?

Zargos · Janvier 2, 2024, 10:15pm

fail2ban - a set of server and client programs to limit brute force authentication attempts.

Je pense que ça ne marchera pas si le compte FTP est légitime. Pour empêcher quelqu’un d’aller sur un dossier pour lequel il n’a pas les droits.

dindoun · Janvier 2, 2024, 10:47pm

un truc du genre
cat /var/log/vsftpd.log|grep "550 Failed to change directory"|while read ligne; do IP=$(echo "$ligne" |sed 's#.*Client " $[0-9]*.[0-9]*.[0-9]*.[0-9]*$ ".*#\1#'); fail2ban-client set vsftpd banip "$IP";done

Zargos · Janvier 3, 2024, 1:56pm

Ce qui va aussi bannir l’IP de quelqu’un qui fait simplement une erreur…
En fonction du nombre de cas dans les logs pou run user donné, et en fonction aussi du répertoire concerné, de suspendre le compte avec notification pour s’assurer qu’il ne s’agit pas d’une erreur d’un utilisateur (qui essaye de mapper ou d’accéder en automatique à un répertoire, et pour lequel il a fait une faute de frappe par exemple.
En cas de récidive après notification, suppression du compte.

mais dans tous les cas, une vérification liée à l’utilisateur semble pertinente qu’un Fail2Ban qui va produire de détestables effets de bords.

dindoun · Janvier 3, 2024, 2:28pm

Tout à fait. D’ailleurs ça m’arrive tout le temps de chercher à remonter dans des dossiers non prévus sur des sites , sans chercher à hacker.
Mais c’est ce qu’il demandait.

Zargos · Janvier 3, 2024, 2:44pm

Sauf que dans ce cas on est sur un problème XY. Le problème X n’est pas résolu parce que convaincu que c’est Y la solution.

dindoun · Janvier 3, 2024, 3:00pm

Tu aimes bien le XY
Mais je ne vois pas de problème XY ici. Sa solution est acceptable, bien qu’elle amène des effets de bords que toi et moi considérons comme non acceptables.
Quel est le problème X et le problème Y que tu vois ici?

Zargos · Janvier 3, 2024, 4:14pm

Au regard des informations disponibles: problème X: des utilisateurs qui browsent des répertoires pour lesquels ils n’ont pas de droits d’accès (ce qui ne signifie pas une interdiction sémantiquement).
La solution Y: utiliser Fail2ban.
A aucun moment n’apparait une analyse des raisons. D’autant que si des personnes vont sur les dits répertoires, c’est qu’ils ont par défaut le droit d’ouvrir une session FTP; ils sont donc légitime à un accès. Fail2ban ira donc à l"encontre de leur accès légitime.

Sans contexte supplémentaire c’est un problème XY (oui j’aime bien et en plus l’informatique est probablement le domaine technologique et technique dans lequel on en rencontre le plus, comme les usines à gaz d’ailleurs ).