Messages d'erreur de Fail2ban

Azarel · December 12, 2021, 9:29am

Mon serveur YunoHost

Matériel: Raspberry Pi à la maison
Version de YunoHost: 4.3.4.2 (stable)
J’ai accès à mon serveur : Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifications particulières sur votre instance ? : non

Description du problème

Bonjour,

Je reçois chaque jour un mail avec le message suivant:

[WARNING] There’s been a suspiciously high number of authentication failures recently. You may want to make sure that fail2ban is running and is correctly configured, or use a custom port for SSH as explained in Security | Yunohost Documentation.

J’ai suivi la documentation est j’ai changé le port ssh.
Pour autant l’avertissement persiste.
Je n’ai pas souhaité utiliser jusqu’à présent l’authentification SSH par clé.

Je souhaite comprendre ce qui ce passe sur mon serveur et j’ai consulté les logs de fail2ban. Les voici : hastebin

Dans la mesure où je lis des “ERROR” et “CRITICAL” que je ne sais pas interpréter je me permets de solliciter votre aide. Pourriez-vous m’expliquer le problème et m’indiquer ce qu’il faudrait faire ?

Et si je comprends bien les logs, je ne constate qu’une seule IP bannie ? Si c’est le cas, le WARNING envoyé quotidiennement par mail semble disproportionné ?

Aussi depuis que j’ai changé le port ssh, je n’arrive plus à me connecter depuis mon ordinateur principal:

$ ssh -p XXXX admin@mon.serveur
The authenticity of host '[mon.serveur]:XXXX ([xx.xx.xxx.xxx]:XXXX)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[mon.serveur]:XXXX,[xx.xx.xxx.xxx]:XXXX' (ECDSA) to the list of known hosts.
Raspbian GNU/Linux 10
admin@mon.serveur's password: 
Connection closed by xx.xx.xxx.xxx port XXXX

Je parviens à me connecter depuis mon smartphone par contre.

Sinon j’ai une autre question : est-ce que fail2ban bloque aussi les tentatives de connexion aux applications et a la webadmin de Yunohost, ou seulement les connexions ssh ?

Merci pour votre aide.

metyun · December 12, 2021, 10:52am

Bonjour,

J’ai lu sur le forum qu’il y avait eu des modifications dans le diagnostique et que plusieurs personnes avaient ce même avertissement. @Aleks évoquait de modifier ceci afin de ne pas déclencher trop vite l’avertissement. Fais une recherche sur le forum, tu devrais retrouver le sujet.

Tu peux voir la liste des filtres présents sur ton yunohost avec la commande fail2ban-client status. Les fichiers se trouvent dans le dossier /etc/fail2ban/jail.d. Pour les applications tout dépend du packaging, parfois c’est le cas, parfois non. Par exemple wallabag n’avait pas dans le passé de filtre fail2ban, mais maintenant c’est le cas. Navidrome n’en a pas (cependant il existe une protection intégrée à l’application contre les brute force mais rien ne t’empêche d’ajouter ton propre filtre), Nextcloud, rainloop en ont un.

Aleks · December 12, 2021, 11:50am

NB : stricto-sensu, le message du diagnostique n’est pas lié à fail2ban. Il s’agit d’un check sur le nombre d’authentification échouée, qui classiquement corresponds à ssh (et donc normalement les tentatives de brute force sont stoppées par fail2ban) mais peuvent aussi théoriquement correspondre à d’autres choses tels qu’un user système qui essaye de bruteforcer le mot de passe d’un autre user (donc sans passer par ssh).

Il se peut aussi que fail2ban tourne très bien mais qu’à cause d’autres aspects (par exemple topologie du réseau si installée derrière un reverse proxy, ou autres setups avancées), le systeme de ban de fail2ban ne fonctionne pas bien.

system · January 11, 2022, 11:50am

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.