Bonjour,
A la lecture d'un certain nombre de pages sur Fail2ban, j'ai tenté d'ajouter des "prisons". Mais visiblement, ça ne marche pas très bien. J'en prends une en exemple
La définiton dans /etc/fail2ban/jail.local
# merci Matthieu Patout
[nginx-404]
enabled = true
filter = nginx-404
action = iptables-multiport[name=nginx-404, port=\"http,https\" protocol=tcp]
logpath = /var/log/nginx/access.log
maxretry = 2
findtime = 6
bantime = 1200
Le filtre dans /etc/fail2ban/filter.d/nginx-404.conf
# failregex = <HOST> - - [.*?] ".*?" 4(0[0-9]|1[0-5])
failregex = <HOST> - - [.*?] ".*?" 404
ignoreregex =
La ligne commentée est celle du tuto, remplacée pour essai par un simple '404'
Et enfin, l'erreur renvoyée au démarrage de fail2ban dans /var/log/fail2ban.log
iptables -A fail2ban-nginx-404 -j RETURN
iptables -I INPUT -p tcp -m multiport --dports \http,https\ protocol -j fail2ban-nginx-404 returned 200
Le résultat du test de
=============
Use regex file : /etc/fail2ban/filter.d/nginx-404.conf
Use log file : /var/log/nginx/access.log
Results
=======
Failregex
|- Regular expressions:
| [1] <HOST> - - [.*?] ".*?" 404
|
`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
Summary
=======
Sorry, no match
On dirait qu'il n'y a pas d'erreur, sauf qu'on a 0 match, alors que la commande
renvoie bien une valeur différente de 0 (4)
Et finalement, la prison en question n'est pas démarrée, et j'en ai plusieurs dans le même cas, mais pas toutes.
Ce que j'ai déjà essayé, sans résultat:
- Ajout de
à l'endroit qui va bien.
- commenté l'action pour utiliser la "actionban" par défaut, qui est "iptables-multiport" est qui fonctionne avec d'autres filtres.
- vérifier que ma version de Fail2ban est supérieure à 8.5, celle qui a le patch qui est supposé résoudre ce problème.
Voilà, tout ça se passe sur un Raspberry Pi2, sur Wheezy, un noyau 4.1.6-v7+, avec Fail2ban en version 0.8.6-3wheezy3
Merci d'avance,
A+
Fail2ban - Configuration prisons
0 commentaires:
Enregistrer un commentaire