Signaler

Fail2ban pour owncloud 9.1

Posez votre question FredM - Dernière réponse le 20 oct. 2016 à 15:12 par FredM
Bonjour,

Impossible de faire fonctionner une failregex pour owncloud pour bloquer les erreurs de connexion

Dans le /etc/fail2ban/filter.d/owncloud.conf
[Definition]
failregex ={"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>'\)","level":2,"time":".*"}
ignoreregex=

Dans le jail.conf j'ai :
[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 1


Et quand je teste :

fail2ban-regex /var/log/owncloud.log /etc/fail2ban/filter.d/owncloud.conf -v

Je n'ai que des missed alors que cela semble correspondre :
Lines: 11 lines, 0 ignored, 0 matched, 11 missed
|- Missed line(s):
| {"reqId":"CPMvJGcfRl4EHpQ9luKz","remoteAddr":"2a03:xxxx:19:wwww:69fe:c29a:7aec:d811","app":"core","message":"Login failed: 'abcd' (Remote IP: '2a03:xxxx:19:wwww:69fe:c29a:7aec:d811')","level":2,"time":"2016-10-19T23:25:40+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=abcd","user":"--"}
|
.....

Une idée ?

MErci
Fred
Afficher la suite 
Utile
+0
plus moins
Salut,

En l'état j'ai bien une idée : le "log" contient des IPv6 pour les tentatives de connexion... Est-ce que ton fail2ban comprend les IPv6 ? ;-))

Probablement là le problème, certaines versions ne comprennent pas.

Si ton "hôte" de fail2ban se trouve sous debian, il y a même de fortes chances que il possède une version qui n'est pas compatible.

Que te retourne la commande :
fail2ban-client -V
dans un terminal? ;-)
Donnez votre avis
Utile
+0
plus moins
# fail2ban-client -V
Fail2Ban v0.8.13
Je suis sous debian jessie.
Fail2ban gère bien les bannissements ssh mais dans les logs ce sont des ip4 ce qui confirmerait ta piste.

Fred
Donnez votre avis
Utile
+0
plus moins
J'ai trouvé ceci :
https://www.debian-fr.org/t/fail2ban-et-ipv6/52906
Ce patch permettrait peut-être de résoudre mon pb...

Fred
Judge_DT 16885Messages postés vendredi 5 février 2010Date d'inscription ModérateurStatut 18 mars 2017 Dernière intervention - 20 oct. 2016 à 11:35
La version confirme.

Deux solutions : soit tu bloques les connexions ipv6 via iptables sur owncloud et ne maintient que l'ipv4, soit tu utilises un patch sur fail2ban... :-)
Répondre
Donnez votre avis
Utile
+0
plus moins
Merci à toi. Je vais essayer de patcher.
Par contre même avec des adresse ipv4 fail2ban ne fait pas son boulot.
Ce type de ligne dans le onwcloud.log est marquée "missed"...
Il doit y avoir un autre souci.
Fred

{"reqId":"lftTrk04X1VI6uCzsnAx","remoteAddr":"37.166.167.126","app":"core","message":"Login failed: 'a' (Remote IP: '37.166.167.126')","level":2,"time":"2016-10-20T15:08:34+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=a","user":"--"}
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !