Salut a tous,

voila, j'ai installé fail2ban pour sshd et vsftpd et tout fonctionne tres bien. J'aurais voulu egalement l'activer pour mon serveur pptpd mais je ne trouve pas de zone pour pptpd dans le jail.conf, j'ai donc essayé d'en creer une de toute piece, mais la, fail2ban ne veut plus se lancer....je suppose donc qu'on ne peut pas rajouter de service comme on le souhaite......

Si vous pouvez me confimer ca......merci
Tu dois rajouter un fichier de conf dans filter.d puis la section dans jail.conf
Ah oui ok....mais alors les expressions regulieres...j'suis vraiment pas au top....en plus en comparant les logs par rapport par exemple a vsftpd, le logs n'est pas ecrit pareil:
Feb 28 15:22:55 mailhost pppd[3934]: Peer toto failed CHAP authentication
Feb 28 15:22:55 mailhost pppd[3934]: Connection terminated.
Feb 28 15:22:55 mailhost pppd[3934]: Exit.
Feb 28 15:22:55 mailhost pptpd[3933]: GRE: read(fd=6,buffer=8059680,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Feb 28 15:22:55 mailhost pptpd[3933]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Feb 28 15:22:55 mailhost pptpd[3933]: CTRL: Client 10.213.110.66 control connection finished
Il faut donc que je detecte le failed sur le user toto de la premiere ligne et apres je recupere l'ip a bannir de la derniere ligne...si qqun peut m'aider pour la syntaxe de l'expression reguliere....
17 jours plus tard
Une regex sur plusieurs lignes dans ce cas, ça n'a pas de sens... Plusieurs évènements peuvent se "chevaucher" et ta regex ne serait pas d'une grande fiabilité...

Il faudrait bidouiller pptpd pour qu'il log une ligne avec l'ip et le statut de l'authentification chap quelquepart, c'est sans doute possible ; et ensuite on pourrait le pluguer facilement à fail2ban.

J'ai le même soucis en tous cas, et en attendant de trouver la solution j'ai ajouté ces deux lignes dans ma config iptables pour au moins limiter la fréquence de connexion à pptp (comme de plus je recois un compte rendu dans l'heure avec logcheck si quelqu'un essaye de se connecter, une tentative de brute force a vraiment peu de chance de réussir)
iptables -I INPUT -p tcp --dport 1723 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 1723 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j REJECT
En clair : pas plus de deux connexions réussies ou non (--hitcount 2) par tranches de dix minutes (--seconds 600)

Ce n'est pas exactement ce que j'aurais voulu mais en tous cas, ca rend les tentatives d'attaques par brute force sans espoir 🙂
Ah merci pour le tuyaux, c'est cool....oui pas mal avec iptables, c'est un bon compromis, mais j'aurais pas trouvé ca tout seul, suis pas super calé avec iptables....apres je pense que je vais adapter a mes besoins....MERCI.