fail2ban [1250]: ERROR Failed during configuration:
c’est une section par défaut de /etc/fail2ban/jail.conf
#[apache-fakegooglebot]
#port = http,https
#logpath = %(apache_access_log)s
#maxretry = 1
#ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip>
je n’ai pas de jail.local, je l’ai créé mais cela ne change rien. Curieusement avec cette section en commentaire, j’ai toujours le message d’erreur comme si le fichier n’était pas pris en compte
j’ai vu qu’on peut mettre une debug dans fail2ban.conf mais je suppose qu’il doit pouvoir démarrer pour afficher quelque chose. La dernière action date de 2023-03-06 le temps passe ! j’ai regardé plusieurs mais sans trouver. J’ai réinstallé fail2ban et remis de jail d’origine sans succès.
- Meilleure réponsesélectionnée par fgland
fgland Ce n’est pas la bonne pratique de toucher directement à /etc/fail2ban/jail.conf
mais plus de faire un fichier /etc/fail2ban/jail.local
ou plusieurs dans /etc/fail2ban/jail.d/
.
Par conséquent ça me laisse supposer que tu as activé tout ce qui est présent dans /etc/fail2ban/jail.conf
finalement donc c’est source de problèmes.
Pour commenter, à mon avis il manque les espaces après le #.
- Modifié
Désinstalle et supprime (pense à faire une copie) /etc/fail2ban avant de réinstaller.
Il semble qu’il prend en compte une option dans “/etc/fail2ban/filter.d/apache-fakegooglebot”
Mais c’est bizarre qu’il soit actif même en commentant…
Fait comme te dit Nicosss,
Dé commente
#[apache-fakegooglebot]
et
enabled = false
- Modifié
VINDICATORs Visiblement il y a problème ! j’ai désinstallé fail2ban et je n’ai plus accès à la machine en ssh ! C’est de ma faute car j’aurais dû vérifier les dépendances :
mais je suis quand même surpris qu’il désinstalle firewalld sans crier !
Je suppose que je suis bon pour une réinstallation complète…
Removing:
fail2ban noarch 1.0.2-3.fc37 @updates 0
Removing unused dependencies:
ebtables-legacy x86_64 2.0.11-12.fc37 @fedora 221 k
esmtp x86_64 1.2-20.fc37 @fedora 99 k
fail2ban-firewalld noarch 1.0.2-3.fc37 @updates 319
fail2ban-selinux noarch 1.0.2-3.fc37 @updates 31 k
fail2ban-sendmail noarch 1.0.2-3.fc37 @updates 12 k
fail2ban-server noarch 1.0.2-3.fc37 @updates 1.8 M
firewalld noarch 1.2.5-1.fc37 @updates 2.0 M
firewalld-filesystem noarch 1.2.5-1.fc37 @updates 239
ipset x86_64 7.15-5.fc37 @fedora 74 k
ipset-libs x86_64 7.15-5.fc37 @fedora 228 k
jansson x86_64 2.13.1-5.fc37 @fedora 85 k
libcap-ng-python3 x86_64 0.8.3-3.fc37 @fedora 69 k
libesmtp x86_64 1.0.6-25.fc37 @fedora 181 k
liblockfile x86_64 1.17-3.fc37 @fedora 64 k
libnftnl x86_64 1.2.2-2.fc37 @fedora 228 k
nftables x86_64 1:1.0.4-3.fc37 @fedora 1.0 M
python3-firewall noarch 1.2.5-1.fc37 @updates 2.8 M
python3-nftables
Edit Nicosss : Correction des balises Markdown -> Voir FAQ
- Modifié
fausse alerte, mon problème ssh était lié à une redirection qui évidemment ne marchait plus.
J’ai supprimé /etc/fail2ban et réinstallé sans aucune modification. Toujours la même erreur
Ta des infos sur à quoi correspond ta variable :
%(ignorecommands_dir)s
aucune idée… je suppose que cela se réfère à /etc/fail2ban/paths-fedora.conf
en fait la ligne réelle est ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip> je ne sais pourquoi ce n’est pas interprété.
J’ai mis en commentaire cette section dans jail.conf en mettant une espace après le # comme indiqué par Nicoss et j’ai pu démarrer fail2ban qui est maintenant actif.
Si on ne doit pas modifier le jail.conf, où doit-on mettre les enabled = true pour activer les sections ?
Merci
fgland C’est ce que je t’ai expliqué, tu dois créer un fichier /etc/fail2ban/jail.local
ou plusieurs dans /etc/fail2ban/jail.d/
.
Je préfère la seconde solution car c’est plus simple pour les distinguer comme tu peux faire par type, par exemple 01-ssh.conf
ainsi que 02-http.conf
, voire 03-mail.conf
, etc.
Du coup dans chacun de ces fichiers et chacune des sections tu ajoutes enabled = true
ou enabled = false
selon si tu rencontres un souci avec une jail que tu as choisis d’utiliser.
en y reprenant la section voulue de jail.conf ?
J’ai remplacé la ligne
ignorecommand = %(fail2ban_confpath)s/filter.d/ignorecommands/apache-fakegooglebot <ip>
par
ignorecommand = /etc/fail2ban/filter.d/ignorecommands/apache-fakegooglebot <ip>
c’est accepté, reste à savoir si cela sera vraiment actif