# Fail2ban et Gentoo release 2

## nono67

Salut à tous,

Je gère un serveur dédié, je suis sous Gentoo Release 2 et j'essaie de faire fonctionner fail2ban, j'ai testé si fail2ban fonctionne et c'est ok pourtant lorsque je consulte mes logs de logwatch je constate ceci :

 *Quote:*   

> 
> 
> --------------------- Named Begin ------------------------ 
> 
> **Unmatched Entries**
> ...

 

Que dois je faire pour stopper toutes ces multiples requêtes de résolution de DNS (chaque jour j'en ai une liste interminable !) ainsi que la tentative effectué via SSH (147 fois) ? Voici ci-dessous mon fichier jail.conf. D'autre part, dans ce fichier jail.conf, quel path (logpath = /var/log/sshd.log) je dois mettre dans la section [ssh-iptables] et [proftpd-iptables], il n'y a pas de répertoire /var/log/ sous Gentoo Release 2 ?

 *Quote:*   

> 
> 
> # Fail2Ban configuration file
> 
> #
> ...

 

Je cru comprendre qu'il faut avoir Python pour faire fonctionner fail2ban, Python est-il installé d'office sur Gentoo Release 2 ? Comment savoir si Pyhton est opérationnel sur mon serveur ?

La gestion de serveur dédié n'étant pas mon métier, merci de votre patience avec moi   :Very Happy: 

Merci pour votre aide.

Bruno

----------

## xaviermiller

Bonjour,

Le "Gentoo à la sauce OVH" n'est pas supporté ici, car OVH a trop bricolé dans la version de base de Gentoo. Vois avec OVH si tu comptes rester sur ce système.

Sinon, à priori, Python devrait être installé car c'est un pré-requis pour Gentoo.

----------

## nono67

Merci pour ta réponse Xavier.

Je vais essayer de voir avec le support d'OVH mais je crains d'avance leur réponse : payer une infogérance pour faire fonctionner fail2ban   :Sad: 

----------

## xaviermiller

En attendant, voici un peu de documentation : 

http://forum.ovh.com/showthread.php?t=35044

http://en.gentoo-wiki.com/wiki/Fail2ban

----------

## nono67

Encore merci Xavier mais sur ce post http://forum.ovh.com/showthread.php?t=35044 ils disent de rajouter 

 *Quote:*   

> 
> 
> auth.info;mail.none -/var/log/sshd.log
> 
> dans "/etc/syslog.conf"
> ...

 

Mais je n'ai pas de fichier syslog.conf dans /etc/syslog.conf   :Sad: 

ou bien :

 *Quote:*   

> 
> 
> Décommenter ces lignes dans /etc/sshd/sshd_config :
> 
> Code:
> ...

 

Mais il n'y a pas de lignes "SyslogFacility AUTH" et "LogLevel INFO" dans /etc/sshd/sshd_config   :Sad: 

Ce post date de 2008 et les infos ne sont peut-être plus à jour...

----------

## xaviermiller

Je ne connais pas fail2ban, je laisse la main à d'autres  :Wink: 

----------

## nono67

J'ai lu pas mal de chose sur le web concernant fail2ban, comme "utilisez fail2ban pour gérer le blacklistage des adresse IP, vous verrez c'est facile !" mais en pratique c'est pas si simple à mettre en oeuvre en fonction de la config de votre serveur !

----------

## ibasaw

 *nono67 wrote:*   

> Encore merci Xavier mais sur ce post http://forum.ovh.com/showthread.php?t=35044 ils disent de rajouter 
> 
>  *Quote:*   
> 
> auth.info;mail.none -/var/log/sshd.log
> ...

 

tu fais un petit coup de 

```
emerge app-admin/syslog-ng
```

je n'ai pas touché au fichier sshd_config pour faire fonctionner fail2ban

(si tu peux change ta release, celle de ovh ca n'apporte que des problèmes...)

contenu de mon sshd.conf dans filter.d

```

# Fail2Ban configuration file

#

# Author: Cyril Jaquier

#

# $Revision$

#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from

# common.local

before = common.conf

[Definition]

_daemon = sshd

# Option:  failregex

# Notes.:  regex to match the password failures messages in the logfile. The

#          host must be matched by a group named "host". The tag "<HOST>" can

#          be used for standard IP/hostname matching and is only an alias for

#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)

# Values:  TEXT

#

failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$

            ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$

            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$

            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$

            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$

            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$

            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$

            ^%(__prefix_line)sreverse mapping checking getaddrinfo for .* \[<HOST>\] .* POSSIBLE BREAK-IN ATTEMPT!*\s*$

         ^%(__prefix_line)sreverse mapping checking getaddrinfo for .* \[<HOST>\] failed - POSSIBLE BREAK-IN ATTEMPT!\s*$

            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$

# Option:  ignoreregex

# Notes.:  regex to ignore. If this regex matches, the line is ignored.

# Values:  TEXT

#

ignoreregex = 

```

il faut évidemment lui indiquer les bons fichiers de log pour chaque agent, sinon il sera incapable de bloquer les requettes.

A++

----------

## nono67

Merci pour ta réponse ZuckBin.

Je m'aperçois que la Release 2 d'OVH est mal conçue, il y a quelques temps j'ai voulu installer des modules php pour faire fonctionner une application de paiement par carte bancaire mais j'ai pas pu en raison de mises à jour futures de la Release 2 qui ne prendraient pas en compte ces ajouts de modules   :Sad: 

Aujourd'hui ça coinçe aussi pour fail2ban   :Sad:   :Sad: 

----------

## nox23

la version de gentoo release 2 est (très ?) ancienne et les mises a jour ou install de logiciels ne sont pas les bienvenues   :Confused:   :Sad: 

si tu veux tweaker ta gentoo je te conseille de faire une install propre de gentoo, là tu seras libre de faire ce que tu veux (install,mise a jour,config,...)

la release 2 est fait pour fonctionnner out of box et point barre.

si tu commences à tweaker la release 2 tu vas certainement péter des trucs   :Very Happy: 

----------

## nono67

Je ré-ouvre cet ancien thread car fail2ban ne fonctionne toujours pas sur mon serveur gentoo R2 : il est têtu le nono  :Laughing: 

J'ai essayé de connaitre le status de fail2ban en tapant /etc/init.d/fail2ban status et il m'indique qu'il est arrêté "status:  stopped".

Je tape la commande /etc/init.d/fail2ban start et là il m'indique "Failed to start fail2ban".

Question : comment démarrer fail2ban ?

Est-ce qu'il y a quelqu'un parmi vous qui est arrivé à faire fonctionner fail2ban sur un serveur Gentoo R2 ?

Merci pour vos réponses.

Nono

----------

## xaviermiller

Vois avec le support OVH.

----------

## El_Goretto

Sérieux, c'était déjà un "OS" vieux et moisi en 2012, on arrive en 2014, ça ne s'est pas résolu automagiquement?  :Smile: 

----------

