Project

General

Profile

Support #45976

Logs adaptés pour mise en place de fail2ban

Added by Benjamin Renard 3 months ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
20 Aug 2020
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Nous avons cherché à mettre en œuvre fail2ban pour bloquer les tentatives d'attaque par force brute sur une installation d'A2, mais les logs qu'il émet ne sont pas adaptés en l'état :
  • nous avons plusieurs blocs d'auth LDAP configurés et nous nous retrouvons, pour une même tentative de connexion, avec plusieurs lignes de logs en échec/succès :
  • Log d'une tentative de connexion avec des identifiants invalides :
Aug 20 15:12:36 sso-02 authentic2[19596]: 10.22.0.6 - ddc941ff INFO user 5775 failed to login
Aug 20 15:12:36 sso-02 authentic2[19596]: 10.22.0.6 - ddc941ff INFO user uid=5775,ou=people~~ failed to login
  • Log d'une tentative de connexion avec des identifiants valides :
Aug 20 07:16:13 sso-02 authentic2[21957]: 192.168.3.250 - 5ec1fd1b INFO user mon failed to login
Aug 20 07:16:13 sso-02 authentic2[21957]: 192.168.3.250 mon (18a689) 5ec1fd1b INFO logged in (password-on-https)
  • nous avons aucune ligne de logs si la tentative portait sur un identifiant d'utilisateur inexistant

En regardant le code, j'ai vu un mécanisme utilisé pour compter le nombre de tentatives de connexions en échec (authentic2.user_login_failure), mais visiblement celui-ci est aussi sensible au cas avec plusieurs sources d’authentification : il semble appelé pour chaque bloc d'authentification en échec/succès et la clé d'incrémentation ne se base que sur le login (pas le bloc d'auth).

Also available in: Atom PDF