Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi

SUJET : Fail2ban

Fail2ban il y a 7 ans 3 mois #31794

  • ccir2a
  • Portrait de ccir2a
  • Hors ligne
  • Fresh Boarder
  • Messages : 10
  • Karma: 0
Est-il possible d'utiliser Fail2ban pour l'authentification Dolibarr afin de prevenir les attaques par force brute?
Actuellement l'authentification est gerée par Dolibarr et on ne peut pas banir les IP qui essayent de se connecter par brute force.
Je desire conserver le module d'authentification de dolibarr et pas celui de HTTP sur lesquel on peut utiliser Fail2ban sans problèmes.
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Fail2ban il y a 7 ans 3 mois #31871

  • benharvest
  • Portrait de benharvest
  • Hors ligne
  • Senior Boarder
  • Messages : 45
  • Remerciements reçus 1
  • Karma: 1
Peut-être.
Il faut que tu actives le module syslog dans Dolibarr (Accueil/Configuration/Modules -> Modules complémentaires).

Le gros problème, c'est qu'apparemment (je dis apparemment, car j'utilise une version locale sous Windows avec un fichier log et pas syslog) il faut une verbosité max, LOG_DEBUG, pour avoir les infos de connexion. Ça écrit beaucoup beaucoup donc ce n'est pas terrible et il faut bien penser au logrotate (comme toujours ceci dit).
Et si je dis "peut-être", c'est parce que j'ignore si Dolibarr renvoie l'IP du serveur ou celle du client (j'ai toujours localhost de mon côté puisque je fais tout en local).

Si c'est ok, il te reste à créer ta règle Fail2ban.
Comme la ligne du log est de cette forme
2012-03-23 11:36:06 DEBUG 127.0.0.1       nologin  index functions_dolibarr::check_user_password_dolibarr Authentification ko user not found for 'dfg'
tu crées une règle /etc/fail2ban/filter.d/dolibarr du genre (surement faux mais pour avoir une idée) :
failregex = DEBUG <HOST>.*Authentification ko (user|bad password)
et ensuite tu actives dans jail.conf :
[dolibarr]
enabled = true
filter = dolibarr
action = iptables[name=dolibarr,port=80,protocol=tcp]
logpath = /var/log/apache2/syslog
maxretry = 5
Dernière édition: il y a 7 ans 3 mois par benharvest.
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: rv.j.pub

Re: Fail2ban il y a 4 ans 10 mois #53102

  • rv.j.pub
  • Portrait de rv.j.pub
  • Hors ligne
  • Fresh Boarder
  • Messages : 5
  • Karma: 0
Merci !

Voici ma config :
-> /etc/fail2ban/filter.d/dolibarr.conf
[Definition]
failregex=INFO <HOST>.*Authentification ko
ignoreregex=

-> Le Jail.conf identique!

Logrotate
-> /etc/logrotate.d/dolibarr
/var/lib/dolibarr/documents/dolibarr.log {
daily
missingok
rotate 30
compress
delaycompress
notifempty
}
Dernière édition: il y a 4 ans 10 mois par rv.j.pub. Raison: Bug Droits User
L'administrateur a désactivé l'accès en écriture pour le public.

Fail2ban il y a 6 mois 2 semaines #104217

  • cad0c
  • Portrait de cad0c
  • Hors ligne
  • Senior Boarder
  • Messages : 62
  • Remerciements reçus 2
  • Karma: 0
Déterrage de topic, mais oh combien intéressant.

En ce qui me concerne, impossible de faire fonctionne la regex :

J'ai des lignes de ce style :
2018-12-10 17:05:37 INFO x.x.x.x functions_dolibarr::check_user_password_dolibarr Authentification ko bad password for 'toto'
2018-12-10 17:05:39 INFO x.x.x.x Trigger 'Logevents' for action 'USER_LOGIN_FAILED' launched by /usr/share/nginx/html/dolibarr/htdocs/core/triggers/interface_20_all_Logevents.class.php. id=0

Avec la regex :
failregex = INFO <HOST>.*Authentification ko

ça devrait pourtant matcher, mais non, niet. Une idée ?
Dernière édition: il y a 6 mois 2 semaines par cad0c.
L'administrateur a désactivé l'accès en écriture pour le public.

Fail2ban il y a 1 mois 2 semaines #110364

  • manus
  • Portrait de manus
  • Hors ligne
  • Fresh Boarder
  • Messages : 1
  • Karma: 0
Voilà ce que j'ai mis en place sur Ubuntu 18.04:
/etc/logrotate.d/dolibarr
/home/$mydomain/public_html/dolibarr/documents/dolibarr.log {
        weekly
        rotate 26
        compress
        nomissingok
        size 10M
}

/etc/fail2ban/filter.d/dolibarr.conf
# Fail2Ban configuration file
#
# Bans bruteforce on Dolibarr
#
# Author: Romain Lapoux
#

[INCLUDES]

before = common.conf

[Definition]

failregex = ^.* <HOST> .*Authentification ko.*$

ignoreregex =

# DEV Notes:
#
# pattern :     functions_dolibarr::check_user_password_dolibarr Authentification ko user not found for 'myuser'

/etc/fail2ban/jail.local
[dolibarr]
enabled  = true
port     = http,https
filter   = dolibarr
maxretry = 5
logpath  = /home/$mydomain/public_html/dolibarr/documents/dolibarr.log
L'administrateur a désactivé l'accès en écriture pour le public.