Hello,

Je vous propose aujourd’hui un rapide billet afin de partager avec vous un petit bogue que j’ai rencontré avec la configuration Fail2ban d’un de mes serveurs.

Pour rappel j’ai écrit à plusieurs reprises au sujet de Fail2ban sur le blog au travers des articles suivants :

• Installation et configuration du paquet Fail2ban
• Comment bloquer les requêtes Apache ^null$
• Protéger vos services auto-hébergés avec Fail2ban

Contexte :

Le serveur tourne actuellement avec la distribution suivante :

Distributor ID:	Debian
Description:	Debian GNU/Linux 7.8 (wheezy)
Release:	7
Codename:	wheezy

La configuration Fail2ban actuellement déployée sur le serveur permet l’envoi de notifications par mails pour chaque adresse IP bannie par un des filtres (ou jails) que j’utilise.

Dans le fichier "/etc/fail2ban/jail.conf" il est précisé que mon serveur utilise sendmail comme agent de transfert de courriers électroniques.

Si vous souhaitez en savoir plus à ce sujet, je vous conseille d’aller jeter un œil au fichier suivant :

/etc/fail2ban/action.d/sendmail.conf

Problématique :

Je n’avais jamais rencontré ce problème auparavant, mais depuis quelques semaines, Fail2ban m’envoie bien ses notifications par mail à un détail prêt.

Selon le client de messagerie que j’utilise pour lire ces notifications, la date de réception du message est indiquée de la manière suivante :

Sympa non ? Je retrouve ce comportement en utilisant Icedove sous Debian et Thunderbird sous Ubuntu, par contre, je ne retrouve pas ce problème de formatage de date lorsque je consulte mes courriels via une interface Web du type RoundCube ou encore RainLoop (que je préfère largement).

Solution(s) :

J’ai d’abord pensé à un problème de ‘locale’ (aka les paramètres régionnaux) sur mes différentes machines et j’ai donc commencé à investiguer dans cette direction sans résultat.

J’ai fini par comprendre que le problème ne venait pas des mes machines mais bien de Fail2ban lui-même. Après quelques recherches sur la Toile, j’ai découvert un tracker parlant de ce problème sur le Github du projet ainsi que la description de plusieurs solutions.

Histoire de ne pas trop me prendre la tête, j’ai opté pour la solution la plus « simple et rapide » à mettre en place.

Voici les manipulations que j’ai donc réalisé :

* Éditer le fichier /etc/init.d/fail2ban et rechercher la ligne suivante :

PATH=/usr/sbin:/usr/bin:/sbin:/bin

* Ajouter les lignes suivantes avant la déclaration de la variable « PATH » :

# fix du format des dates lors de l'envoi de notifications via sendmail
export LC_TIME=C

* Redémarrer ensuite le service Fail2ban :

service fail2ban restart

Voilà, rien de très compliqué et un problème en moins ! Que demander de plus ? ^^

Pour les curieux, la seconde solution consiste à éditer le fichier suivant :

/etc/fail2ban/action.d/sendmail.conf

Le principe étant de « corriger » dans les différentes actions que peut réaliser Fail2ban lors de la gestion des notifications les lignes permettant l’affichage des dates dans les entêtes de mails.

Liste des actions disponibles :

• actionstart
• actionstop
• actioncheck
• actionban
• actionunban

Exemple :

actionstop = printf %%b "Subject: [Fail2Ban] : stopped
  Date: `date -u +"%%a, %%d %%h %%Y %%T +0000"` <== modifications à faire ici ! 
  From: Fail2Ban <>
  To: \n
  Hi,\n
  The jail  has been stopped.\n
  Regards,\n
  Fail2Ban" | /usr/sbin/sendmail -f  

C’est d’ailleurs dans ce fichier que vous pourrez personnaliser les messages transmis par Fail2ban, si ceux générés par défaut ne vous conviennent pas !

Ce sera tout pour aujourd’hui alors à la prochaine :)

Source utilisée pour la rédaction de l’article :
– Le fil de discussion Github concernant le bug :
Date in mail is in localized format which cause mail client behave weird #70

Sources des images utilisées en illustrations :
– Illustration principale du billet : il s’agit de l’expression de maigres compétences en GIMP :D
– Illustration du billet : imprime écran réalisé et modifié par mes soins