PEBKAC #9378

Il y a quelques temps (pas si longtemps), à mes débuts sous Linux, lors de tests sur un petit serveur expérimental pour me familiariser avec cet OS, je commence une petite config' (rien de très extraordinaire). J'installe OpenSSH et je prends la session à distance sur ma machine habituelle, tout va bien. J'installe quelques paquets, j'active le pare-feu et installe Fail2Ban et… Oh, ma session SSH s'est fermée… et je ne parviens plus à me connecter.
Visiblement, Fail2Ban a fermé le port 22 sur le pare-feu. PEBKAC.

PEBKAC #9378 proposé par Adrien74 le 31/01/2014 | 13 commentaires | 👍🏽 👎🏽 +82

Eh ouais, la config sur Linux ne se résume pas à "Suivant, suivant, suivant, OK, Fermer"

Commentaire #127786 écrit par iFrancois le 31/01/2014 à 17h46 | 👍🏽 👎🏽

C'est le cas de tout outil de configuration, non ?

Ce que tu décris c'est plutôt des conditions d'utilisation :-D

Commentaire #127788 écrit par aDev le 31/01/2014 à 17h50 | 👍🏽 👎🏽

Correction: Fail2Ban ne fermera pas le port 22 à proprement parler (iptables / pare-feu oui).
Fail2Ban ne te 'ban' que si tu tente X tentatives foirées (selon les règles mises en place).

Du coup, un petit CTLP car t'as du fermer le port 22 de toi même ou tenter X fois de te connecter à ton serveur sans succès.

Après, si je me trompe, lapidez moi à coup de poney.

Commentaire #127797 écrit par Piteur le 31/01/2014 à 17h58 | 👍🏽 👎🏽

L'apprentissage d'iptables à distance...
Toujours tester sa config en local (machine virtuelle) avant !

Commentaire #127799 écrit par hr0 le 31/01/2014 à 18h03 | 👍🏽 👎🏽

En tout cas, il y a un truc drôle à faire en formation linux, c'est mettre en place un serveur ssh sur la machine d'un co stagiaire et d'aller s'y amuser pendant les tp. De bonnes tranches de rire en perspective !

Disclaimer : ne faites pas comme moi, ce n'est pas bien... ou alors à un collègue qui a de l'humour et si vous êtes disposé à ce qu'il vous rende la monnaie de votre pièce.

Commentaire #127807 écrit par val070 le 31/01/2014 à 18h44 | 👍🏽 👎🏽

Classique, j'ai fait la même avec mon propre script de Firewall xD

Commentaire #127814 écrit par Amaury le 31/01/2014 à 19h15 | 👍🏽 👎🏽

Tout à fait d'accord. L'installation de fail2ban n'a à ma connaissance pas pu avoir pour conséquence de couper le port 22.

Une petite erreur de manipulation d'iptables me semblerait une explication plus plausible (parmi d'autres).

Commentaire #127823 écrit par Morrock le 31/01/2014 à 20h06 | 👍🏽 👎🏽

Sur linux, cest ./configure; make; make install
Ce qui revient au même que suivant, suivant, ok :)

Commentaire #127837 écrit par spidermoon le 31/01/2014 à 21h44 | 👍🏽 👎🏽

Cʼest un peu comme si tu avais dressé un chien de garde et lui avait confié un objet à garder et à ne laisser prendre par personne.
Puis de regretter de ne pas lui avoir dit : « par personne… sauf moi, évidemment. »

Commentaire #127848 écrit par /etc/passwd le 01/02/2014 à 00h21 | 👍🏽 👎🏽

Sauf qu'en général, tu donne des paramètres au ./configure...

Commentaire #127856 écrit par Epok__ le 01/02/2014 à 04h02 | 👍🏽 👎🏽

C'est comme quand on désactive une interface réseau à distance, après on a du mal à la réactiver.

Commentaire #127939 écrit par Acorah le 01/02/2014 à 18h24 | 👍🏽 👎🏽

Ouai surtout sur un serveur de prod qui se trouve à des centaines de km.

Commentaire #128092 écrit par Adrien74 le 02/02/2014 à 23h57 | 👍🏽 👎🏽

Ca m'est arrivé aussi d'être bloqué avec fail2ban en ssh. Sachant que j'utilise une clef ssh pour me connecter les tentatives ratés étaient à exclure. J'ai pas vérifier mais je pense qu'il surveille aussi le nombre de tentatives tout court. En tout cas j'avais plusieurs sessions ssh d'ouvertes dont certaines avec des autoreconnects, des reverses ssh et autres.

Je n'avais absolument pas touché à IPtable directement ni changé quoique ce soit a part installer fail2ban.

Commentaire #128151 écrit par aaa le 03/02/2014 à 13h22 | 👍🏽 👎🏽