Ligne de log non détectée par fail2ban sous Ubuntu22

PmGs · Janvier 25, 2024, 8:11am

Bonjour,

ce post est en lien avec mon précédent

j’en ouvre un autre pour préciser la question et suite un post identique sur le forum Ubuntu.

J’ai remarqué que sur un serveur Ubuntu 22 fail2ban ne bannit pas toutes les IP qu’il devrait.

Par exemple le ligne suivante n’est pas détectée

Jan 24 17:30:16 vps7 sshd[121778]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.101.160.198

Alors que la ligne suivante l’est bien

Jan 24 05:55:35 vps7 sshd[41654]: error: PAM: Authentication failure for root from 219.233.13.170

Un lecteur observe-t-il le même phénomène?

Est-ce que le format de la ligne de log serait du à une mauvaise configuration de mon serveur?

dindoun · Janvier 25, 2024, 12:11pm

salut
est-ce que tu veux dire que quand le log de auth.log affiche

fail2ban ne le prend pas en compte

mais que quand le log de auth.log affiche

fail2ban le prend en compte ?

Clochette · Janvier 25, 2024, 12:46pm

Regarde plutôt la configuration de la jail en question.

PmGs · Janvier 25, 2024, 2:11pm

Oui, c’est cela.

Le test est possible avec

ln= "ligne de log à copier/coller ici";
fail2ban-regex "$ln" /etc/fail2ban/filter.d/sshd.conf

PmGs · Janvier 25, 2024, 2:08pm

Rien de special de côté

jail.local

banaction = iptables-allports
bantime = 30h
findtime = 25m
maxretry = 3

PmGs · Janvier 26, 2024, 6:52am

où un « expert en sécurité » me propose d’ajouter mes filtres à fail2ban!