Le soucis, c’est que je ne comprends pas pourquoi fail2ban s’est déclenchée.
Ce qu’il s’est passé :
J’ai une session ouvert en ssh, avec mon compte admin
Je démarre filezilla pour envoyer des fichiers sur ma webapp avec acces sftp
Dans filezilla, j’utilise mon nom d’utilisateur et mdp, qui me permettent de me connecter sans probleme
Je transfert des fichiers depuis le serveur vers mon ordi, toujours sans soucis
Je commence à envoyer des fichiers vers le serveur, toujours dans filezilla. deux transferts réussissent, puis les transferts se bloquent
Ma session ssh se coupe : je me dis que fail2ban a du me bloquer
Je coupe le service fail2ban via l’admin de YNH
Je peux me reconnecter en ssh et en sftp sans probleme
Ce que je ne comprends pas, c’est que les tentatives de connexions de Filezilla étaient avec le bon utilisateur et mot de passe.
Est-ce que quelqu’un saurait d’ou ca peut venir ?
Est-ce que le transfert par filezilla, qui tente d’ouvrir plusieurs connexions a la fois, pose probleme ?
De plus, je viens de nouveau de me faire bannir. Je me demande si la whitelist que j’ai fait est suffisante. Voici les logs me concernant (j’ai remplacé mon ip par 123456789)
2020-05-22 11:36:02,944 fail2ban.filter [2454]: INFO [recidive] Ignore 123456789 by ip
2020-05-22 11:37:11,436 fail2ban.filter [2454]: INFO [wordpress] Found 198.12.225.100
2020-05-22 11:37:12,027 fail2ban.filter [2454]: INFO [wordpress] Found 198.12.225.100
2020-05-22 11:44:30,287 fail2ban.filter [2454]: INFO [wordpress] Found 37.187.75.16
2020-05-22 11:45:13,299 fail2ban.filter [2454]: INFO [wordpress] Found 185.86.13.213
2020-05-22 11:46:02,993 fail2ban.actions [2454]: NOTICE [sshd] Unban 123456789
2020-05-22 11:46:06,584 fail2ban.filter [2454]: INFO [sshd] Found 123456789
2020-05-22 11:46:06,589 fail2ban.filter [2454]: INFO [sshd] Found 123456789
2020-05-22 11:46:06,611 fail2ban.filter [2454]: INFO [sshd] Found 123456789
Est-ce que la whitelist n’est pas globale ?
Y a-t-il une sorte de “cache” à vider pour etre sur que la whitelist soit bien appliquée ?
Salut !
Mon IP était bien dans la bonne section.
Par ailleurs, je l’ai remplacée par mon nom de domaine dynamique, comme ça j’éviterai les problèmes de changement d’IP par la suite.
La commande que tu m’as donné ma permis de découvrir ceci :
| May 22 11:14:48 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
| May 22 11:14:49 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA
| May 22 11:14:49 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:YnUR97hUxJVW1p27Bhhx3oybWJeHHrU+EmKXyxUK7O4
| May 22 11:21:15 ns1245 sshd[1169]: Failed publickey for webapp1 from 123456 port 61016 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
| May 22 11:21:15 ns1245 sshd[1170]: Failed publickey for webapp1 from 123456 port 61017 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
| May 22 11:21:15 ns1245 sshd[1169]: Failed publickey for webapp1 from 123456 port 61016 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA
| May 22 11:21:15 ns1245 sshd[1170]: Failed publickey for webapp1 from 123456 port 61017 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA
Visiblement, Filezilla doit essayer d’utiliser une clé, mais n’envoie pas le mot de passe lorsque ça ne marche pas…
À moins que ce soit mon serveur qui ne demande pas le mot de passe lorsque la clé n’est pas la bonne ?
Quoiqu’il en soit, je ne pige pas d’où vient cette clé
D’autant qu’elle semble changer vu la tête des logs ?
Précision, seul mon compte admin a une clé, mes comptes webapp n’ont que des mots de passe.
Tu as peut-être défini le paramètre ignoreip dans plusieurs fichiers de config, auquel c’est seulement le dernier qui sera pris en compte. Vérifie en tapant ça :
