Fail2ban

30 Novembre, 2020, 17:19:30

Bonjour,
Impossible de faire fonctionner fail2ban :

En ligne de commande avec le passage d'une ligne j'ai bien 1 match :

Code: [Sélectionner]

fail2ban-regex "172.245.211.58 - - [30/Nov/2020:01:13:12 +0100] \"POST /boaform/admin/formLogin HTTP/1.1\" 301 257 \"http://78.234.249.159:80/admin/login.asp\" \"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:71.0) Gecko/20100101 Firefox/71.0\"" /etc/fail2ban/filter.d/1-apache-mots.conf

Running tests
=============

Use   failregex filter file : 1-apache-mots, basedir: /etc/fail2ban
Use      datepattern : Default Detectors
Use      single line : 172.245.211.58 - - [30/Nov/2020:01:13:12 +0100] "P...


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] ^<HOST> -.*"POST.*".*
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [1] Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 1 lines, 0 ignored, 1 matched, 0 missed
[processed in 0.03 sec]

avec le fichier access.log :

Code: [Sélectionner]

 # fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/1-apache-mots.conf
Running tests
=============

Use   failregex filter file : 1-apache-mots, basedir: /etc/fail2ban
Use      datepattern : Default Detectors
Use      single line : /var/log/apache2/access.log


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, [b]0[/b] matched, 1 missed
[processed in 0.02 sec]

|- Missed line(s):
|  /var/log/apache2/access.log
`-

Mon fichier 1-apache-mots.conf contient :

Code: [Sélectionner]

datepattern = 
failregex = ^<HOST> -.*"POST.*".*
ignoreregex =

J'ai passé une journée la dessus, fouillé plus de 50 pages sur le web, je ne comprends pas pourquoi le match ne se fait pas sur cette regexp. Par acquis des conscience j'ai mis access.log en 777, mais c'est pareil,
merci de votre aide

Re : Fail2ban

Répondre #1 – 30 Novembre, 2020, 18:06:27

J'ai fait un test avec un autre fichier de log bidon (/datas/PrefEdserv/Fichier_texte.log), et déjà ça va mieux, 36 lignes de lues:

Code: [Sélectionner]

fail2ban-regex /datas/PrefEdserv/Fichier_texte.log /etc/fail2ban/filter.d/01motsApache

Running tests
=============

Use   failregex filter file : 01motsApache, basedir: /etc/fail2ban
Use      datepattern : Default Detectors
Use         log file : /datas/PrefEdserv/Fichier_texte.log
Use         encoding : UTF-8


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [36] Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 36 lines, 0 ignored, 0 matched, 36 missed
[processed in 0.04 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 36 lines

Pourquoi fail2ban ne veut pas lire le fichier de log apache ?

Re : Fail2ban

Répondre #2 – 30 Novembre, 2020, 19:12:14

Bon, j'ai progréssé, en effet j'avais

Code: [Sélectionner]

/var/log/apache2/access.log

au lieu de

Code: [Sélectionner]

/var/log/apache2/access_log

Ceci du à un copier collé via internet. Mais dommage que je n'ai pas eu un "file no found", cela m'aurait économisé un Grande dose d’énergie et des plis sur le front.....Pour autant en mettant un fichier bidon inexistant on a le message "file not found"...
Alors du coup j'ai renommé mon log apache de la sorte : www.access.log et merveille ça marche : temps passé environ 8 heures...