Etre alerté de l'activité de fail2ban

Bonjour,

Existe-t-il un moyen d’être alerté quand fail2ban bannit automatiquement une IP ou met en place un filtrage quelconque ?

Il m’est arrivé de changer le mot de passe de mon compte principal Yunohost, mais d’oublier par exemple de le changer dans mon appli mobile de mail… Donc cette appli tentait désespérément de consulter mes mails à un rythme assez soutenu, sans y parvenir, sauf qu’au bout d’un moment je me suis fait bannir moi-même par fail2ban (y compris de tous les accès Yunohost) qui n’a que moyennement apprécié ce petit jeu … et j’ai mis du temps à comprendre pourquoi fail2ban m’avait banni…

Si j’avais reçu une notification (même par mail à la rigueur), ou une alerte dans la webAdmin, ou une petite phrase dans la partie “diagnostic” de la page d’administration, je trouverai ça intéressant.
Même au-delà du cas exposé, je trouve que ce serait intéressant d’avoir une alerte en cas d’instrusion louche (vous me direz qu’on serait vite noyé sous les alertes…)

Bref, fail2ban a peut-être une fonction comme ça, mais je ne connais pas.

Merci à vous

Bonsoir,

De mémoire il faut regarder dans un fichier de configuration des jails de fail2ban qui doit se trouver dans /etc/fail2ban/jail.conf.

Cela afin de remplacer en l’adaptant le destemail = root@localhost par destmail = mon_adresse_mail@a.moi.

Attention car lors des mises à jour, ce fichier ayant été édité manuellement, tu risques d’avoir une notification afin de regarder manuellement les différences, entre la configuration éventuellement évolutive mise en place par défaut par l’équipe et tes changements, que tu devras gérer, accepter, voire forcer une regen-conf et réappliquer tes changements à la main, … .

Au delà de la configuration, si tu as ssh sur le port par défaut tu risques sûrement d’avoir un message àchaque fois qu’il y a un bannissement.
Tout comme lorsque tu installeras ou désinstalleras une application qui redémarrera ou rechargera fail2ban.

Bref, avant de toucher manuellement à la configuration des services il faut bien y réfléchir avant, surtout en cette période où se prépare le passage à Bulleyes avec une migration basée sur une configuration traditionnelle et non-exotique.

ppr

1 Like

Oui, toucher aux configs de base, j’avoue éviter (même si j’ai dû le faire, ne serait-ce que pour se connecter en SSH avec clé de chiffrement, et même pour changer le port SSH avant que la commande yunohost settings set security.ssh.port soit disponible)
Donc pour fail2ban je ne le ferai pas en tout cas. Faudra que je me contente d’éplucher les logs :face_with_monocle:

En fait il faut bien savoir et comprendre ce que l’on.fait.
Ajouter une adresse mail dans le fichier de configuration ne devrait pas être trop difficile car visiblement tu devrais savoir faire :wink:

ppr

Bonsoir,

La bonne pratique n’est pas d’écrire directement dans /etc/fail2ban/jail.conf. Une solution est de mettre ses configurations personnelles dans un fichier /etc/fail2ban/jail.d/jail-perso.conf.

[DEFAULT]
destemail = ton_adresse_mail
#contourner bug action mwl
action_mwm = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-matches[name=%(__name__)s, dest="%(destemail)s", chain="%(chain)s"]
action = %(action_mwm)s

J’avais été obligé de rajouter action_mwm sinon je ne recevais pas les mails quand j’avais mis en place les notifications par mail il y a bientôt 3 ans.
J’ai fais toutes les mises à jours depuis et il n’y a pas eu de problèmes au dernier changement de version de Debian.

3 Likes

Serait il possible d’avoir un hook au lieu de modifier le fichier ?

Oui mais il y a peu d’intérêt si tu mets tes configs perso dans /etc/jail.d

Utilise un hook lorsque tu souhaites faire une modification sur un fichier système tel que la configuration de SSH:

Note que ce n’est pas une intrusion mais une tentative d’intrusion, et oui, tu risques d’être rapidement saoulé par les mails car sur un serveur même peu connu, il y a facilement 10~20 tentatives de brute force par des robots par jour

Il m’est arrivé la même chose, mais sur mon réseau local. J’ai mis un petit moment à démêler l’histoire et à comprendre que fail2ban était fâché parce que j’avais un peu forcé et j’ai fini par me dépatouiller. Je suis d’accord qu’avoir une façon de savoir ce qui se passe serait cool, sans pour autant être submergé de notifications ou de mails. Une rapide recherche m’a conduit à cette interface web pour fail2ban, peut être que ça pourrait être en partie implémenté dans l’admin YNH ?

Voici un script que j’utilise pour recevoir un mail quotidien de l’activité de fail2ban
Facilement modifiable si tu veux le customiser pour n’en recevoir que si ban
Test if sur le retour d’un grp ban …

https://cbiot.fr/dokuwiki/homeserver:olinolinux#rapport_mail_quotidien_de_fail2ban