Page 2 sur 12

Re: Attaque réseau ?

Publié : 03 nov. 2015, 19:24
par manuloup
Donc voilà la solution :

[Post edit ]
Au préalable, installer fail2ban sur le RPI :

Code : Tout sélectionner

sudo apt-get install fail2ban
Il faut également mettre un fichier de log pour domoticz :

Dans le fichier /etc/init.d/domoticz.sh changer :

Code : Tout sélectionner

DAEMON_ARGS="$DAEMON_ARGS -log /var/log//domoticz.log"
et relancer domoticz :

Code : Tout sélectionner

sudo /etc/init.d/domoticz.sh restart
[/Post edit ]


1 - modifier le fichier jail.local dans /etc/fail2ban/ en y ajoutant la section suivante :

Code : Tout sélectionner

 [domoticz]

enabled  = true
port     = 8080
filter   = domoticz
logpath  = /var/log/domoticz.log
maxretry = 3
findtime = 3600
Modifier le port et le logpath selon votre configuration.

2 - ajouter le filtre domoticz.conf dans /etc/fail2ban/filter.d

Code : Tout sélectionner

vi /etc/fail2ban/filter.d/domoticz.conf
 
 # Fail2Ban configuration file for domoticz
#
# Author: Emmanuel Chanteloup
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = .* Error: Failed login attempt from <HOST> for user '.*' !

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
3 - relancer fail2ban

Code : Tout sélectionner

 sudo /etc/init.d/fail2ban restart
C'est fini !

Pour tester :

Code : Tout sélectionner

 vi toto.txt :
 2015-11-03 18:35:51.908  Error: Failed login attempt from 37.130.158.115 for user 'toto' !
puis lancer la commande suivante :

Code : Tout sélectionner

fail2ban-regex  toto.txt /etc/fail2ban/filter.d/domoticz.conf

confirmation :

Code : Tout sélectionner

Success, the total number of match is 1
J'ai également fait un test depuis mon tel portable en 3G. Après 3 tentatives, mon ip est bannie :

Code : Tout sélectionner

root@raspberrypi:/etc/fail2ban# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-domoticz  tcp  --  anywhere             anywhere             multiport dports 8080
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-domoticz (1 references)
target     prot opt source               destination
DROP       all  --  37.140.158.148       anywhere
RETURN     all  --  anywhere             anywhere
- retirer le ban de l'ip :

Code : Tout sélectionner

 root@raspberrypi:/etc/fail2ban/filter.d# iptables -D fail2ban-domoticz -s VOTRE_IP(ici 37.140.158.148) -j DROP
Mon ip n'est plus bannie :

Code : Tout sélectionner

 root@raspberrypi:/etc/fail2ban# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-domoticz  tcp  --  anywhere             anywhere        multiport dports 8080
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-domoticz (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
Voilà, j'espère que c'est clair et que cela vous a aidé. N'hésitez pas à me dire si j'ai oublié un truc.

Re: Attaque réseau ?

Publié : 03 nov. 2015, 21:02
par vil1driver
merci c'est top ;)

ne faut il pas également activer la création et l'usage de ce fichier log ?

éditer le fichier domoticz.sh

Code : Tout sélectionner

 nano /home/pi/domoticz/domoticz.sh
modifier cette ligne

Code : Tout sélectionner

#DAEMON_ARGS="$DAEMON_ARGS -log /tmp/domoticz.txt"
en ceci

Code : Tout sélectionner

DAEMON_ARGS="$DAEMON_ARGS -log /var/log/domoticz.log"
puis relancer domoticz

Code : Tout sélectionner

sudo service domoticz restart

Re: Attaque réseau ?

Publié : 04 nov. 2015, 10:30
par manuloup
Ah oui effectivement. Je ne me souvenais plus qu'il n'est pas activé par défaut.

Après, libre à vous de le mettre aussi en rotatelog etc... Je me suis concentré sur la partie fail2ban uniquement.

Re: Attaque réseau ?

Publié : 06 nov. 2015, 18:27
par patoche
Merci pour votre aide.

Re: Attaque réseau ?

Publié : 30 janv. 2016, 22:36
par fredclo
Bonjour,

j'ai suivi ce tuto avec intérêt mais n'ayant pas paramétré iptables je n'ai pas le même résultat lorsque je liste les règles ; j'ai rien du tout au lieu de :
fail2ban-domoticz tcp -- anywhere anywhere multiport dports 8080
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh

Quelles sont les commandes pour mettre ces 2 règles svp ?
merci

Re: Attaque réseau ?

Publié : 01 févr. 2016, 10:06
par manuloup
fredclo a écrit :Bonjour,

j'ai suivi ce tuto avec intérêt mais n'ayant pas paramétré iptables je n'ai pas le même résultat lorsque je liste les règles ; j'ai rien du tout au lieu de :
fail2ban-domoticz tcp -- anywhere anywhere multiport dports 8080
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh

Quelles sont les commandes pour mettre ces 2 règles svp ?
merci
Normal, ces lignes n'apparaissent que si tu as une ip bannie. Regarde, j'avais fait exprès de faire 3 tentatives infructueuses.

Re: Attaque réseau ?

Publié : 01 févr. 2016, 10:43
par fredclo
Eh bien j'ai pas du faire qqchose correctement, car j'ai aussi fait 3 essais infructueux via ma 3G, et ca ne m'a pas banni mon IP (je l'ai fais aussi du bureau idem).
Quand je fais iptables -L j'ai des listes vides.

J'ai suivi tout le tuto sauf l'install de fail2ban que j'avais déjà installé mais pas paramétré (à part mon email c'est tout).
J'ai fais une erreur sûrement ici :
DAEMON_ARGS="$DAEMON_ARGS -log /var/log/domoticz.log"
car j'ai 2 domoticz.sh : un pour le démarrage de domoticz (endroit classique) et un autre dans /home/pi/domoticz/domoticz.sh
Ce ne sont pas les mêmes mais j'ai mis cette ligne dans les 2.
Lequel il faut utiliser ?
merci

Re: Attaque réseau ?

Publié : 01 févr. 2016, 11:01
par manuloup
Regarde si tu vois quelque chose en faisant un :

ps -ef |grep domoticz

et regarde si tu vois un fichier de log dans /var/log/domoticz.log

Commence déjà par être que tu as la log. Ensuite relance fail2ban :

/etc/init.d/fail2ban restart

Re: Attaque réseau ?

Publié : 01 févr. 2016, 11:05
par fredclo
j'y ai pas accès avant ce soir, mais par contre, je sais que je n'ai pas de log, c'est un pb que j'avais remarqué.
merci

Re: Attaque réseau ?

Publié : 01 févr. 2016, 13:25
par vil1driver
Lorsque l'on s'intéresse.. On apprend que fail2ban scan les fichiers de log et suivant s'il y trouve ce qu'on lui dit d'y chercher, en l'occurrence des tentatives d'accès infructueuses.. déclanche les actions voulues, soit le ban pour durée déterminée + alerte mail etc...

Donc pas de log, pas d'action.

C'est bien pour cela qu'il est précisé d'activer les logs.. ;)