Signaler

Fail2ban pour owncloud 9.1

Posez votre question FredM - Dernière réponse le 20 oct. 2016 à 15:12
Bonjour,

Impossible de faire fonctionner une failregex pour owncloud pour bloquer les erreurs de connexion

Dans le /etc/fail2ban/filter.d/owncloud.conf
[Definition]
failregex ={"reqId":".*","remoteAddr":".*","app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>'\)","level":2,"time":".*"}
ignoreregex=

Dans le jail.conf j'ai :
[owncloud]
enabled = true
port = http,https
filter = owncloud
logpath = /var/log/owncloud.log
maxretry = 1


Et quand je teste :

fail2ban-regex /var/log/owncloud.log /etc/fail2ban/filter.d/owncloud.conf -v

Je n'ai que des missed alors que cela semble correspondre :
Lines: 11 lines, 0 ignored, 0 matched, 11 missed
|- Missed line(s):
| {"reqId":"CPMvJGcfRl4EHpQ9luKz","remoteAddr":"2a03:xxxx:19:wwww:69fe:c29a:7aec:d811","app":"core","message":"Login failed: 'abcd' (Remote IP: '2a03:xxxx:19:wwww:69fe:c29a:7aec:d811')","level":2,"time":"2016-10-19T23:25:40+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=abcd","user":"--"}
|
.....

Une idée ?

MErci
Fred
Afficher la suite 
Utile
+0
moins plus
Salut,

En l'état j'ai bien une idée : le "log" contient des IPv6 pour les tentatives de connexion... Est-ce que ton fail2ban comprend les IPv6 ? ;-))

Probablement là le problème, certaines versions ne comprennent pas.

Si ton "hôte" de fail2ban se trouve sous debian, il y a même de fortes chances que il possède une version qui n'est pas compatible.

Que te retourne la commande :
fail2ban-client -V
dans un terminal? ;-)
Ajouter un commentaire
Utile
+0
moins plus
# fail2ban-client -V
Fail2Ban v0.8.13
Je suis sous debian jessie.
Fail2ban gère bien les bannissements ssh mais dans les logs ce sont des ip4 ce qui confirmerait ta piste.

Fred
Ajouter un commentaire
Utile
+0
moins plus
J'ai trouvé ceci :
https://www.debian-fr.org/t/fail2ban-et-ipv6/52906
Ce patch permettrait peut-être de résoudre mon pb...

Fred
Judge_DT 14761Messages postés vendredi 5 février 2010Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 20 oct. 2016 à 11:35
La version confirme.

Deux solutions : soit tu bloques les connexions ipv6 via iptables sur owncloud et ne maintient que l'ipv4, soit tu utilises un patch sur fail2ban... :-)
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Merci à toi. Je vais essayer de patcher.
Par contre même avec des adresse ipv4 fail2ban ne fait pas son boulot.
Ce type de ligne dans le onwcloud.log est marquée "missed"...
Il doit y avoir un autre souci.
Fred

{"reqId":"lftTrk04X1VI6uCzsnAx","remoteAddr":"37.166.167.126","app":"core","message":"Login failed: 'a' (Remote IP: '37.166.167.126')","level":2,"time":"2016-10-20T15:08:34+02:00","method":"POST","url":"\/owncloud\/index.php\/login?user=a","user":"--"}
Ajouter un commentaire

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !