[Réglé] Fail2ban et Mageia 7
Ça marche pô.
Système et matériels / Réseau Internet Wi-Fi
gustine Membre non connecté
-
- Voir le profil du membre gustine
- Inscrit le : 26/09/2010
- Site internet
- Groupes :
Reprise du message précédent
squid-f :
Je mettrais juste une information dans ton post que paths-debian semble étrange ; comme tu le dis fort bien.
Par contre, paths-fedora contient d'autres paramètres sur les backend qui demandent validation, selon moi. Tu peux donc dire que paths-fedora est une option possible, mais pas encore complètement validée.
Par contre, paths-fedora contient d'autres paramètres sur les backend qui demandent validation, selon moi. Tu peux donc dire que paths-fedora est une option possible, mais pas encore complètement validée.
Fait
maat Membre non connecté
-
- Voir le profil du membre maat
- Inscrit le : 22/03/2012
- Site internet
- Groupes :
-
Équipe Mageia
gustine :
Bonjour,
J'utilise toujours Mageia 7 pour mon serveur web car le logiciel que j'utilise n'est pas compatible avec php 8.
J'ai activé fail2ban (le serveur tourne) pour essayer de bloquer par exemple les rigolos qui essayent d'accéder à phpmyadmin ou à la configuration Wordpress (que je n'utilise pas). De toute évidence, je ne l'ai pas bien paramétré car rien ne se passe ; le lien avec shorewall ne semble pas s'établir.
Dans quel répertoire faut-il placer jail.local ?
Dans la section [INCLUDES] faut-il pointer sur paths-fedora.conf ? Les chemins sont-ils vraiment ceux de Mageia 7 ?
Merci d'avance.
J'utilise toujours Mageia 7 pour mon serveur web car le logiciel que j'utilise n'est pas compatible avec php 8.
J'ai activé fail2ban (le serveur tourne) pour essayer de bloquer par exemple les rigolos qui essayent d'accéder à phpmyadmin ou à la configuration Wordpress (que je n'utilise pas). De toute évidence, je ne l'ai pas bien paramétré car rien ne se passe ; le lien avec shorewall ne semble pas s'établir.
Dans quel répertoire faut-il placer jail.local ?
Dans la section [INCLUDES] faut-il pointer sur paths-fedora.conf ? Les chemins sont-ils vraiment ceux de Mageia 7 ?
Merci d'avance.
Bonjour,
Pour php7 sur Mageia 8 vous pouvez essayer ça :
Code BASH :
urpmi.addmedia --update Mageia_Biz_Mga8 https://mageia.biz/repo/Mageia/distrib/8/x86_64/media/business/updates
puis :
Code BASH :
urpmq --fuzzy php7
urpmi php7-cli php7-fpm etc
Les fichiers de config sont dans /etc/php/7/
gustine Membre non connecté
-
- Voir le profil du membre gustine
- Inscrit le : 26/09/2010
- Site internet
- Groupes :
Merci pour l'info. Je vais tester ça dans une Virtualbox.
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
squid-f :
Pour ma part, j'ai aussi créé un fichier /etc/fail2ban/paths-overrides.local inspiré du paths-fedora.conf car je trouve étrange que Mageai importe le paths-debian.conf
Pour ma part, j'ai aussi créé un fichier /etc/fail2ban/paths-overrides.local inspiré du paths-fedora.conf car je trouve étrange que Mageai importe le paths-debian.conf
tu peux nous dire ce que ton fichier paths-overrides.local contient ?
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Je poste cela demain. Pas de pc sous la main à l’instant.
A+
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
Citation :
2021-09-01 12:31:04,710 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,710 fail2ban.jail [17477]: INFO Jail 'apache-nohome' started
2021-09-01 12:31:04,711 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,739 fail2ban.jail [17477]: INFO Jail 'apache-botsearch' started
2021-09-01 12:31:04,767 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,795 fail2ban.jail [17477]: INFO Jail 'apache-fakegooglebot' started
2021-09-01 12:31:04,823 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,823 fail2ban.jail [17477]: INFO Jail 'apache-modsecurity' started
2021-09-01 12:31:04,824 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,852 fail2ban.jail [17477]: INFO Jail 'openvpn' started
2021-09-01 12:31:04,710 fail2ban.jail [17477]: INFO Jail 'apache-nohome' started
2021-09-01 12:31:04,711 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,739 fail2ban.jail [17477]: INFO Jail 'apache-botsearch' started
2021-09-01 12:31:04,767 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,795 fail2ban.jail [17477]: INFO Jail 'apache-fakegooglebot' started
2021-09-01 12:31:04,823 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,823 fail2ban.jail [17477]: INFO Jail 'apache-modsecurity' started
2021-09-01 12:31:04,824 fail2ban.filtersystemd [17477]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
2021-09-01 12:31:04,852 fail2ban.jail [17477]: INFO Jail 'openvpn' started
en remplaçant dans le fichier jail.d/00-systemd.conf
backend=systemd
par
backend=auto
comme indiqué sur le net l'erreur disparait sauf pour
2021-09-01 12:37:57,292 fail2ban.filtersystemd [17834]: NOTICE Jail started without 'journalmatch' set. Jail regexs will be checked against all journal entries, which is not advised for performance reasons.
je ne suis pas sûr que ça soit un comportement normal, du coup je me demande ce qu'il faut mettre pour backend dans ce fichier ou si le comportement de backen est écrasé par le jail.local
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
Désolé pour le retard.
Le backend est en effet un souci et fail2ban ne marchait pas jusqu'à ce que je tombe sur :
https://github.com/fail2ban/fail2ban/issues/959
De plus, comme signalé déjà par gustine, les chemins et noms de certains fichiers log ne sont pas bons en incluant les paramètres debian.
Du coup, j'ai créé un fichier paths-overrides.local inspiré de celui de Fedora:
Caché :
# Fedora
[DEFAULT]
syslog_mail = /var/log/maillog
syslog_mail_warn = /var/log/maillog
syslog_authpriv = /var/log/secure
apache_error_log = /var/log/httpd/*error_log
apache_access_log = /var/log/httpd/*access_log
nginx_error_log = /var/log/nginx/error.log
nginx_access_log = /var/log/nginx/access.log
# /etc/proftpd/proftpd.conf (ExtendedLog for Anonymous)
# proftpd_log = /var/log/proftpd/auth.log
# Tested and it worked out in /var/log/messages so assuming syslog_ftp for now.
exim_main_log = /var/log/exim/main.log
mysql_log = /var/log/mariadb/mariadb.log
/var/log/mysqld.log
roundcube_errors_log = /var/log/roundcubemail/errors
# These services will log to the journal via syslog, so use the journal by
# default.
syslog_backend = systemd
sshd_backend = systemd
dropbear_backend = systemd
proftpd_backend = systemd
pureftpd_backend = systemd
wuftpd_backend = systemd
postfix_backend = systemd
dovecot_backend = systemd
# Fedora
[DEFAULT]
syslog_mail = /var/log/maillog
syslog_mail_warn = /var/log/maillog
syslog_authpriv = /var/log/secure
apache_error_log = /var/log/httpd/*error_log
apache_access_log = /var/log/httpd/*access_log
nginx_error_log = /var/log/nginx/error.log
nginx_access_log = /var/log/nginx/access.log
# /etc/proftpd/proftpd.conf (ExtendedLog for Anonymous)
# proftpd_log = /var/log/proftpd/auth.log
# Tested and it worked out in /var/log/messages so assuming syslog_ftp for now.
exim_main_log = /var/log/exim/main.log
mysql_log = /var/log/mariadb/mariadb.log
/var/log/mysqld.log
roundcube_errors_log = /var/log/roundcubemail/errors
# These services will log to the journal via syslog, so use the journal by
# default.
syslog_backend = systemd
sshd_backend = systemd
dropbear_backend = systemd
proftpd_backend = systemd
pureftpd_backend = systemd
wuftpd_backend = systemd
postfix_backend = systemd
dovecot_backend = systemd
Mais je ne suis pas satisfait par les backends, en tous les cas pour certains des filtres que je veux mettre en place.
Du coup, je fais des ajustements ensuite dans des fichiers du type jail.d/nginx.local avec:
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
backend = polling
journalmatch =
enabled = true
filter = nginx-http-auth
backend = polling
journalmatch =
Tu noteras la ligne journalmatch.
Il faut que je fasse un rapport de bug pour voir ce que le mainteneur en pense, mais, c'est encore sur ma to-do list...
A+
funix Membre non connecté
-
- Voir le profil du membre funix
- Inscrit le : 17/12/2012
- Site internet
- Groupes :
Édité par funix Le 11/09/2021 à 10h14
squid-f Membre non connecté
-
- Voir le profil du membre squid-f
- Inscrit le : 03/04/2016
- Groupes :
-
Membre d'Honneur
funix :
ça tourne maintenant depuis une semaine, mais j'ai comme l'impression que ça tourne dans le vide et que ça ne marche pas, ça m'a pas l'air bien fini comme outil, je crois que je vais laisser tomber, j'ai passé beaucoup trop de temps là dessus
Tu utilises quels filtres ? pour quels services à surveiller ?
Si c'est pour surveiller apache, as-tu bien modifié le fichier de log à surveiller ? Celui de la configuration par défaut de Mageia est erroné, apparemment (gustine l'a constaté).
A+
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie