Forum

Reprise du message précédent

Avec fail2ban-regex /var/log/httpd/error_log /etc/fail2ban/filter.d/apache-auth.conf -v j'obtiens :
Failregex: 38 total
|- #) [# of hits] regular expression
| 1) [33] ^client (?:denied by server configuration|used wrong authentication scheme)\b
...
Lines: 2079 lines, 0 ignored, 38 matched, 2041 missed
Mais shorewall ne semble jamais avoir reçu d'instructions.

J'ai essayé de modifié le regex de « mon » apache-phpmyadmin sans succès. Essaie encore
Mais si apache-auth fonctionne, je n'en aurai pas besoin.

Édité par gustine Le 13/08/2021 à 08h02

Bonjour

Donc apache-auth.conf détecterait 38 requêtes suspectes.
Ces requêtes sont apparemment semblables à ce que tu veux bloquer.
Tu peux pousser l’analyse plus loin des 38 pour voir s’il y a des requêtes que tu ne souhaites pas bloquer.
Je te dis cela car je pense que le filtre apache-auth.conf répond à ton besoin. Tu pourrais juste l’activer comme indiqué plus haut pour apache-botsearch. Remplace apache-botsearch par apache-auth et logpath=/var/log/httpd/error_log
Cela vaudrait le coup d’essayer maintenant pour s’assurer qu’il n’y a pas un autre souci ailleurs.

Si tu veux absolument créer ton filtre, je te conseille de partir de apache-auth.conf et tu enlèves ce qui ne te convient pas.

A+

Édit: shorewall n’a pas reçu l’ordre de bloquer les ip car la commande teste juste le filtre. Pour bannir via shorewall, il faut modifier jail.local aussi avec apache-auth

Édité par squid-f Le 13/08/2021 à 07h58

Rebonjour,

Je vais effectivement laisser tomber apache-phpmyadmin pour me concentrer sur apache-auth.

Comme indiqué plus haut, apache-auth est livré d'origine avec le paquetage Mageia et activé par défaut. Je n'avais rien changé le concernant et c'est parce que ça ne fonctionnait pas que j'avais été chercher autre chose sur le web.
Les 38 requêtes correspondent donc à des visites qui ont eu lieu ce mois ci, le filtre étant déjà activé dans jail.local depuis des mois.
Je vais ajouter logpath = /var/log/httpd/error_log dans apache-auth.conf mais je pense que ça figure déjà dans path-fedora.conf.

Édité par gustine Le 13/08/2021 à 08h57

Un test à 8:54 donne le message d'erreur suivant,
[Fri Aug 13 08:54:16.393433 2021] [authz_core:error] [pid 28661] [client 185.107.70.xxx:43206] AH01630: client denied by server configuration: /usr/share/phpmyadmin
Je trouve bien 185.107.70.xxx Fri Aug 13 08:54:16 2021 avec fail2ban-regex
mais rien avec shorewall show log.

La commande fail2ban-client status apache-auth semble confirmer qu'il ne se passe rien
Status for the jail: apache-auth
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches:
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

Édité par gustine Le 13/08/2021 à 09h23

Juste un petit offtopic : il existe un moyen d'avoir php7 sur mga8, dans un dépôt logiciel tiers. Il est même possible d'avoir php7 et php8 en même temps.
Si intéressé, je demande plus d'informations sur IRC.

Je tenterais bien l'expérience (sur une autre machine) si ça n'est pas trop compliqué.

Re-

Les filtres sont livrés par défaut, mais rien n'est activé par défaut.
Il faut le faire explicitement dans ton jail.local ou par un fichier dans jail.d
Pour ne pas ajouter de la confusion, continuons à travailler dans jail.local
Si tu dois ajouter plus de filtres et pour des ports / applications différentes, je te conseille de travailler par configuration dans jail.local
On verra cela plus tard.

Donc, pour activer apache-auth.conf, peux-tu confirmer que tu as déjà dans ton jail.local le block suivant :


logpath pourrait être redondant, en effet. Mais comme je n'ai pas tous les détails de ta configuration, je préfère border ce point. D'ailleurs, pourrais-tu poster tout ton jail.local ? Cela pourrait faire gagner du temps.

Ensuite, as-tu bien gardé les modifications dans /etc/fail2ban/action.d/shorewall.conf et /etc/shorewall/shorewall.conf ?

Pour vérifier que l'IP est bien bannie, tu ne le verrais pas par shorewall show log car le blocage est silencieux (pas d'inscription dans le log de shorewall). Il faut faire d'autres ajustements si tu veux changer ce comportement ; mais chaque chose en son temps.

Pour vérifier que cela fonctionne.

shorewall show dynamic retournera l'IP bloquée tant que le bannissement est actif.

Sinon, tu devrais aussi trouver dans /var/log/fail2ban.log des lignes NOTICE [apache-auth] Ban IP puis NOTICE [apache-auth] Unban IP

A+

J'ai évidement conservé les modif des shorewall.conf que tu m'avais indiquées.
jail.local contenait seulement (j'ai supprimé phpmyadmin)

Je l'ai complété et maintenant fail2ban-client status apache-auth indique

Le fichier fail2ban log contenant désormais une ligne

On progresse donc.

shorewall show dynamic indique

Ça marche

Je n'avais pas prêté attention au paramètre maxretry = 3

J'ai triplé le test et shorewall show dynamic indique désormais


Un grand merci pour ton aide.

Édité par gustine Le 13/08/2021 à 10h36

Tout le plaisir est pour moi

Je me suis fait un petit résumé. Ça peut servir à d'autres.

Shorewall
Dans /etc/fail2ban/action.d/shorewall.conf remplacer
blocktype = reject par blocktype = drop
Dans /etc/shorewall/shorewall.conf remplacer
BLACKLIST="NEW,INVALID,UNTRACKED" par BLACKLIST="ALL"

Relancer shorewall :
shorewall reload

Fail2ban
Dans /etc/fail2ban/jail.conf [INCLUDES], remplacer¹
before = paths-debian.conf par before = paths-fedora.conf
Sinon, on peut ajouter logpath = /var/log/httpd/error_log dans jail.local.
¹J'ai procédé ainsi car les chemins Debian sont inadaptés à Mageia mais l'utilisation du fichier Fedora reste à valider (voir les remarques de squid-f à 16h25) .

Dans /etc/fail2ban/ créer un fichier jail.local qui servira à activer les services. Par exemple pour apache-auth :


Relancer le service pour que les modifications soient prises en compte :
systemctl restart fail2ban

Pour vérifier si fail2ban a détecté quelque chose avec le filtre apache-auth :
fail2ban-client status apache-auth

Pour voir s’il y une action de bannissement dans shorewall :
shorewall show dynamic

_________
Édité pour tenir compte des remarques de squid-f

Édité par gustine Le 13/08/2021 à 19h33

C'est bien de faire cela.

Je ne suis pas certain qu'il faille remplacer apache_error_log = /var/log/httpd/*error_log par apache_error_log = /var/log/httpd/error_log
Le caractère * étant un joker, cela doit couvrir le besoin. Avais-tu eu un problème ?

Je serais prudent avant de recommander à tous de remplacer paths-debian.conf par paths-fedora.conf
Je pensais faire un rapport de bug sur le sujet pour lancer la discussion avec le packager. Tu peux le faire si tu veux.

Je ne me souviens pas que jail.local active un quelconque filtre par défaut.
Es-tu sûr que apache-auth était présent dans jail.local à l'installation ? Ou est-ce après l'installation d'apache que cela apparaît ?

A+

« C'est bien de faire cela. » Encore faut-il que ce soit pertinent

Tu as raison, supprimer l'étoile ne sert à rien. Et encore raison pour jail.local qui n'existe pas dans le paquetage fail2ban.
J'ai rectifié mon message¹ en conséquence mais j'ai laissé paths-fedora.conf car les chemins de debian sont inexacts (/var/log/apache2/ hérité de paths-commons.conf).

Je ne sens pas capable de faire un rapport de bug because mon niveau d'english.

¹si c'est une mauvaise idée, je peux rétablir le message initial

Édité par gustine Le 13/08/2021 à 16h02

Pas de soucis. Ca fait toujours avancer le schmilblick et la communauté

Je ferai le rapport de bug.

Je mettrais juste une information dans ton post que paths-debian semble étrange ; comme tu le dis fort bien.
Par contre, paths-fedora contient d'autres paramètres sur les backend qui demandent validation, selon moi. Tu peux donc dire que paths-fedora est une option possible, mais pas encore complètement validée.

C'est juste mon humble avis et d'autres peuvent réagir

A+

A balaise !! A mettre au chaud ce fil !!

Fait