Bonjour,

depuis quelque temps sur mon serveur OVH, fail2ban ne démarre plus et je n’arrive pas à résoudre le problème. Je viens de faire la migration vers 6.4.4-100.fc37.x86_64 qui s’est faite sans problème.

Installation basique avec un serveur apache, mysql, php et icecaste
le message d’erreur est

[1291]: ERROR Failed during configuration: Bad value substitution: option ‘ignorecommand’ in section ‘apache-fakegooglebot’ contains an interpolation key ‘ignorecommands_dir’ which is not a valid option name. Raw value: ‘%(ignorecommands_dir)s/apache-fakegooglebot <ip>’
[1291]: ERROR   Async configuration of server failed

J’ai en commentaire la section apache-fakegooglebot en commentaire mais cela ne change rien

quant à la deuxième ligne, je n’ai rien trouvé
Un coup de pouce me serait bien utile.

Merci

  • Nicosss a répondu à ça.
    • Meilleure réponsesélectionnée par fgland

    fgland Ce n’est pas la bonne pratique de toucher directement à /etc/fail2ban/jail.conf mais plus de faire un fichier /etc/fail2ban/jail.local ou plusieurs dans /etc/fail2ban/jail.d/ .

    Par conséquent ça me laisse supposer que tu as activé tout ce qui est présent dans /etc/fail2ban/jail.conf finalement donc c’est source de problèmes.

    Pour commenter, à mon avis il manque les espaces après le #.

    fgland Peux-tu donner la section complète que tu utilises ?
    Pour la désactiver tu as bien utilisé l’option
    enabled = false

    Tu as créé un fichier /etc/fail2ban/jail.local ou plusieurs dans /etc/fail2ban/jail.d/ ?

    c’est une section par défaut de /etc/fail2ban/jail.conf

    #[apache-fakegooglebot]
    
    #port     = http,https
    #logpath  = %(apache_access_log)s
    #maxretry = 1
    #ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip>

    je n’ai pas de jail.local, je l’ai créé mais cela ne change rien. Curieusement avec cette section en commentaire, j’ai toujours le message d’erreur comme si le fichier n’était pas pris en compte

      j’ai vu qu’on peut mettre une debug dans fail2ban.conf mais je suppose qu’il doit pouvoir démarrer pour afficher quelque chose. La dernière action date de 2023-03-06 le temps passe ! j’ai regardé plusieurs mais sans trouver. J’ai réinstallé fail2ban et remis de jail d’origine sans succès.

      fgland Ce n’est pas la bonne pratique de toucher directement à /etc/fail2ban/jail.conf mais plus de faire un fichier /etc/fail2ban/jail.local ou plusieurs dans /etc/fail2ban/jail.d/ .

      Par conséquent ça me laisse supposer que tu as activé tout ce qui est présent dans /etc/fail2ban/jail.conf finalement donc c’est source de problèmes.

      Pour commenter, à mon avis il manque les espaces après le #.

      Désinstalle et supprime (pense à faire une copie) /etc/fail2ban avant de réinstaller.

      Il semble qu’il prend en compte une option dans “/etc/fail2ban/filter.d/apache-fakegooglebot”

      Mais c’est bizarre qu’il soit actif même en commentant…

      Fait comme te dit Nicosss,

      Dé commente

      #[apache-fakegooglebot]

      et

      enabled = false

        VINDICATORs Visiblement il y a problème ! j’ai désinstallé fail2ban et je n’ai plus accès à la machine en ssh ! C’est de ma faute car j’aurais dû vérifier les dépendances :

        mais je suis quand même surpris qu’il désinstalle firewalld sans crier !
        Je suppose que je suis bon pour une réinstallation complète…

        Removing:
         fail2ban                                                 noarch                                     1.0.2-3.fc37                                        @updates                                       0  
        Removing unused dependencies:
         ebtables-legacy                                          x86_64                                     2.0.11-12.fc37                                      @fedora                                      221 k
         esmtp                                                    x86_64                                     1.2-20.fc37                                         @fedora                                       99 k
         fail2ban-firewalld                                       noarch                                     1.0.2-3.fc37                                        @updates                                     319  
         fail2ban-selinux                                         noarch                                     1.0.2-3.fc37                                        @updates                                      31 k
         fail2ban-sendmail                                        noarch                                     1.0.2-3.fc37                                        @updates                                      12 k
         fail2ban-server                                          noarch                                     1.0.2-3.fc37                                        @updates                                     1.8 M
         firewalld                                                noarch                                     1.2.5-1.fc37                                        @updates                                     2.0 M
         firewalld-filesystem                                     noarch                                     1.2.5-1.fc37                                        @updates                                     239  
         ipset                                                    x86_64                                     7.15-5.fc37                                         @fedora                                       74 k
         ipset-libs                                               x86_64                                     7.15-5.fc37                                         @fedora                                      228 k
         jansson                                                  x86_64                                     2.13.1-5.fc37                                       @fedora                                       85 k
         libcap-ng-python3                                        x86_64                                     0.8.3-3.fc37                                        @fedora                                       69 k
         libesmtp                                                 x86_64                                     1.0.6-25.fc37                                       @fedora                                      181 k
         liblockfile                                              x86_64                                     1.17-3.fc37                                         @fedora                                       64 k
         libnftnl                                                 x86_64                                     1.2.2-2.fc37                                        @fedora                                      228 k
         nftables                                                 x86_64                                     1:1.0.4-3.fc37                                      @fedora                                      1.0 M
         python3-firewall                                         noarch                                     1.2.5-1.fc37                                        @updates                                     2.8 M
         python3-nftables

        Edit Nicosss : Correction des balises Markdown -> Voir FAQ

        fausse alerte, mon problème ssh était lié à une redirection qui évidemment ne marchait plus.
        J’ai supprimé /etc/fail2ban et réinstallé sans aucune modification. Toujours la même erreur

        Ta des infos sur à quoi correspond ta variable :

        %(ignorecommands_dir)s

        aucune idée… je suppose que cela se réfère à /etc/fail2ban/paths-fedora.conf

        en fait la ligne réelle est ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip> je ne sais pourquoi ce n’est pas interprété.

        J’ai mis en commentaire cette section dans jail.conf en mettant une espace après le # comme indiqué par Nicoss et j’ai pu démarrer fail2ban qui est maintenant actif.
        Si on ne doit pas modifier le jail.conf, où doit-on mettre les enabled = true pour activer les sections ?

        Merci

          fgland C’est ce que je t’ai expliqué, tu dois créer un fichier /etc/fail2ban/jail.local ou plusieurs dans /etc/fail2ban/jail.d/ .

          Je préfère la seconde solution car c’est plus simple pour les distinguer comme tu peux faire par type, par exemple 01-ssh.conf ainsi que 02-http.conf , voire 03-mail.conf , etc.
          Du coup dans chacun de ces fichiers et chacune des sections tu ajoutes enabled = true ou enabled = false selon si tu rencontres un souci avec une jail que tu as choisis d’utiliser.

          en y reprenant la section voulue de jail.conf ?
          J’ai remplacé la ligne

          ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip>

          par

          ignorecommand = /etc/fail2ban/filter.d/ignorecommands/apache-fakegooglebot <ip>

          c’est accepté, reste à savoir si cela sera vraiment actif

            fgland Oui, tu reprends des sections de ton fichier /etc/fail2ban/jail.conf .

            Effectivement, on dirait que %(fail2ban_confpath)s interprète mal le chemin d’installation de Fail2ban.

            Je n’ai pas regardé plus que ça par contre.