Merci de tester ma protection fail2ban ipv6 ?

ortolojf · 17 Août 2014

Bonjour

J'ai mis au point vers 17h00 la protection par fail2ban de mon serveur VPS vps21277.ovh.net , avec l'add-on deThanatos, plus une modification pour rendre possible l'appel à ip6tables quand une ipv6 joint sans succès en ssh mon serveur plus que 3 fois.

J'ai vérifié que les adresses ipv6 sont bien détectées en faisant le test usuel :

cd /var/log

fail2ban-regex auith.log /etc/fail2ban/filter.d/sshd.conf

Cà marche, mais j'aurais seulement besoin de savoir si le filtrage est effectivement déclenché.

Si çà marche, je vous donnerai le cas échéant, la modification que j'ai faite.

Merci beaucoup de vos réponses.

Respectueusement.

Jean François Ortolo

PS Le password fait plus que 25 caractères...

Axiso · 17 Août 2014

Re: Merci de tester ma prtoection fail2ban ipv6 ?

ortolojf a dit:
Le password fait plus que 25 caractères...

Déjà que ça m'agace quand je me plante pour un passe de 8 caractères. Alors pour 25 ...

Bool · 18 Août 2014

Re: Merci de tester ma prtoection fail2ban ipv6 ?

Hello,

ça a l'air de fonctionner oui. J'ai fait 3 tentatives sur 2001:41d0:52:100::350, sur le compte "testWri", et suis maintenant blacklisté de ton serveur.

ortolojf · 18 Août 2014

Re: Merci de tester ma prtoection fail2ban ipv6 ?

Bool a dit:
Hello,

ça a l'air de fonctionner oui. J'ai fait 3 tentatives sur 2001:41d0:52:100::350, sur le compte "testWri", et suis maintenant blacklisté de ton serveur.

Bonjour Bool

Cà c'est super.

J'ai reçu le mail d'avertissement de backlistage, et j'ai vérifié que l'adresse ipv6 était bien refusée par ip6tables.

La modification que j'ai faite sur l'add-on de Thanatos, a été de changer la regex ipv6 dans ip64tables.sh ( script chargé de déclencher iptables ou ip6tables suivant le cas ).

Ce script ip64tables.sh , est fourni je crois ( en version modifiée sans ma modif. ), dans l'add-on de Thanatos.

Voici la modification :

#!/bin/sh

# Je passe les détails...

regexp_ipv6 = "((([0-9A-Fa-f]{1,4}

{7}[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{6}:[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{5}

[0-9A-Fa-f]{1,4}

?[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{4}

[0-9A-Fa-f]{1,4}

{0,2}[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{3}

[0-9A-Fa-f]{1,4}

{0,3}[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{2}

[0-9A-Fa-f]{1,4}

{0,4}[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{6}((b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b).){3}(b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b))|(([0-9A-Fa-f]{1,4}

{0,5}

(b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b).){3}(b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b))|

[0-9A-Fa-f]{1,4}

{0,5}((b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b).){3}(b((25[0-5])|(1d{2})|(2[0-4]d)|(d{1,2}))b))|([0-9A-Fa-f]{1,4}:

[0-9A-Fa-f]{1,4}

{0,5}[0-9A-Fa-f]{1,4})|

[0-9A-Fa-f]{1,4}

{0,6}[0-9A-Fa-f]{1,4})|(([0-9A-Fa-f]{1,4}

{1,7}

)"

Au lieu de :

RESULT6=`echo $LINE | egrep "

:[A-Fa-f0-9])|(

[A-Fa-f0-9]{1,4}){2,})" | wc -l `

Je met :

RESULT6=`echo $LINE | egrep "$regexp_ipv6" | wc -l `

Avant cette modification, je n'ai jamais eu d'adresse ipv6 backlistée, mais j'ai vérifié que la première version ci-dessus de la regexp ( en texte ), ne permettait pas de détecter une ipv6... ;(

Maintenant çà marche.

Super merci pour ton test.

Très respectueusement.

Jean François Ortolo