IP bloquée par fail2ban en utilisant la Custom Web App

Bonjour à tous,

Ceci n’est pas vraiment un probleme urgent, puisque je l’ai déja résolu en mettant mon IP en whitelist.

Le soucis, c’est que je ne comprends pas pourquoi fail2ban s’est déclenchée.

Ce qu’il s’est passé :

  • J’ai une session ouvert en ssh, avec mon compte admin
  • Je démarre filezilla pour envoyer des fichiers sur ma webapp avec acces sftp
  • Dans filezilla, j’utilise mon nom d’utilisateur et mdp, qui me permettent de me connecter sans probleme
  • Je transfert des fichiers depuis le serveur vers mon ordi, toujours sans soucis
  • Je commence à envoyer des fichiers vers le serveur, toujours dans filezilla. deux transferts réussissent, puis les transferts se bloquent
  • Ma session ssh se coupe : je me dis que fail2ban a du me bloquer
  • Je coupe le service fail2ban via l’admin de YNH
  • Je peux me reconnecter en ssh et en sftp sans probleme

Ce que je ne comprends pas, c’est que les tentatives de connexions de Filezilla étaient avec le bon utilisateur et mot de passe.
Est-ce que quelqu’un saurait d’ou ca peut venir ?
Est-ce que le transfert par filezilla, qui tente d’ouvrir plusieurs connexions a la fois, pose probleme ?

De plus, je viens de nouveau de me faire bannir. Je me demande si la whitelist que j’ai fait est suffisante. Voici les logs me concernant (j’ai remplacé mon ip par 123456789)

2020-05-22 11:36:02,944 fail2ban.filter         [2454]: INFO    [recidive] Ignore 123456789 by ip
2020-05-22 11:37:11,436 fail2ban.filter         [2454]: INFO    [wordpress] Found 198.12.225.100
2020-05-22 11:37:12,027 fail2ban.filter         [2454]: INFO    [wordpress] Found 198.12.225.100
2020-05-22 11:44:30,287 fail2ban.filter         [2454]: INFO    [wordpress] Found 37.187.75.16
2020-05-22 11:45:13,299 fail2ban.filter         [2454]: INFO    [wordpress] Found 185.86.13.213
2020-05-22 11:46:02,993 fail2ban.actions        [2454]: NOTICE  [sshd] Unban 123456789
2020-05-22 11:46:06,584 fail2ban.filter         [2454]: INFO    [sshd] Found 123456789
2020-05-22 11:46:06,589 fail2ban.filter         [2454]: INFO    [sshd] Found 123456789
2020-05-22 11:46:06,611 fail2ban.filter         [2454]: INFO    [sshd] Found 123456789

Est-ce que la whitelist n’est pas globale ?
Y a-t-il une sorte de “cache” à vider pour etre sur que la whitelist soit bien appliquée ?

Merci beaucoup !

Vérifie que tu as bien placé le paramètre dans la section DEFAULT.

[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 x.x.x.x/32

Si tu veux savoir quelles lignes de logs ont déclenché le banissement tapes ça :

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf --print-all-matched
2 Likes

Salut !
Mon IP était bien dans la bonne section.
Par ailleurs, je l’ai remplacée par mon nom de domaine dynamique, comme ça j’éviterai les problèmes de changement d’IP par la suite.

La commande que tu m’as donné ma permis de découvrir ceci :

|  May 22 11:14:48 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
|  May 22 11:14:49 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA
|  May 22 11:14:49 ns1245 sshd[759]: Failed publickey for webapp1 from 123456 port 60598 ssh2: RSA SHA256:YnUR97hUxJVW1p27Bhhx3oybWJeHHrU+EmKXyxUK7O4
|  May 22 11:21:15 ns1245 sshd[1169]: Failed publickey for webapp1 from 123456 port 61016 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
|  May 22 11:21:15 ns1245 sshd[1170]: Failed publickey for webapp1 from 123456 port 61017 ssh2: RSA SHA256:B/vFQRUzIB6H0W7Km37sJht1o8emOF5O2yrh9lNG4mA
|  May 22 11:21:15 ns1245 sshd[1169]: Failed publickey for webapp1 from 123456 port 61016 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA
|  May 22 11:21:15 ns1245 sshd[1170]: Failed publickey for webapp1 from 123456 port 61017 ssh2: RSA SHA256:WiG1uAD26AKaPMEj/ECYhDrzQBsbj68uLTs/t9ssjzA

Visiblement, Filezilla doit essayer d’utiliser une clé, mais n’envoie pas le mot de passe lorsque ça ne marche pas…
À moins que ce soit mon serveur qui ne demande pas le mot de passe lorsque la clé n’est pas la bonne ?
Quoiqu’il en soit, je ne pige pas d’où vient cette clé :confused:
D’autant qu’elle semble changer vu la tête des logs ?

Précision, seul mon compte admin a une clé, mes comptes webapp n’ont que des mots de passe.

Tu as peut-être défini le paramètre ignoreip dans plusieurs fichiers de config, auquel c’est seulement le dernier qui sera pris en compte. Vérifie en tapant ça :

 grep -R --color 'ignoreip' /etc/fail2ban/