Hallo zusammen,
ich habe gestern Fail2ban in Betrieb genommen und nach und nach die zu überwachenden Logs per entsprechendem Jail hinzu gefügt. Aufgefallen ist mir dabei, dass (fast) keines der vordefinierten Failregex für meine Ubuntu 8.04 Logformate geeignet war. Also passende Failregex pro Log erstellt und getestet mittels fail2ban-regex. Alle funktionieren mit (älteren) Logfiles, die entsprechende Ereignisse aufweisen.
Nach Neustart von Fail2ban werden folgende Logeinträge geschrieben:
Ich habe momentan 3 Jails definiert (ssh, mail, apache-noscript) und offensichtlich werden alle 3 Filter problemlos angesprochen und dann knallt es in der letzten Zeile. Es scheint beim Eintragen der Regel nach Auslösen eines apache-noscript Ereignisses zu passieren. Ich hatte vorher aber noch keine Auslöser für den mail bzw. ssh Filter, so dass ich nicht bestätigen kann, dass bei denen korrekt Regeln eingetragen wurden (aktuell habe ich nur Angriffsversuche über den Apache).
Ist das ein Problem der Rechte? Kann jemand mit der Meldung etwas anfangen? Ich hab mir schon nen Wolf gegoogelt, aber langsam gehen mir die Ideen aus.
Danke für jede Unterstützung,
Thomas
ich habe gestern Fail2ban in Betrieb genommen und nach und nach die zu überwachenden Logs per entsprechendem Jail hinzu gefügt. Aufgefallen ist mir dabei, dass (fast) keines der vordefinierten Failregex für meine Ubuntu 8.04 Logformate geeignet war. Also passende Failregex pro Log erstellt und getestet mittels fail2ban-regex. Alle funktionieren mit (älteren) Logfiles, die entsprechende Ereignisse aufweisen.
Nach Neustart von Fail2ban werden folgende Logeinträge geschrieben:
Code:
2011-02-22 17:22:51,139 fail2ban.jail : INFO Using poller
2011-02-22 17:22:51,165 fail2ban.filter : INFO Created Filter
2011-02-22 17:22:51,165 fail2ban.filter : INFO Created FilterPoll
2011-02-22 17:22:51,166 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log
2011-02-22 17:22:51,169 fail2ban.filter : INFO Set maxRetry = 3
2011-02-22 17:22:51,170 fail2ban.filter : INFO Set findtime = 600
2011-02-22 17:22:51,171 fail2ban.actions: INFO Set banTime = 3600
2011-02-22 17:22:51,173 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2011-02-22 17:22:51,173 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2011-02-22 17:22:51,174 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
2011-02-22 17:22:51,174 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2011-02-22 17:22:51,175 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2011-02-22 17:22:51,177 fail2ban.jail : INFO Using poller
2011-02-22 17:22:51,177 fail2ban.filter : INFO Created Filter
2011-02-22 17:22:51,177 fail2ban.filter : INFO Created FilterPoll
2011-02-22 17:22:51,178 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2011-02-22 17:22:51,178 fail2ban.filter : INFO Set maxRetry = 2
2011-02-22 17:22:51,180 fail2ban.filter : INFO Set findtime = 600
2011-02-22 17:22:51,180 fail2ban.actions: INFO Set banTime = 3600
2011-02-22 17:22:51,184 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2011-02-22 17:22:51,184 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2011-02-22 17:22:51,185 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
2011-02-22 17:22:51,186 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2011-02-22 17:22:51,186 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2011-02-22 17:22:51,187 fail2ban.jail : INFO Using poller
2011-02-22 17:22:51,188 fail2ban.filter : INFO Created Filter
2011-02-22 17:22:51,188 fail2ban.filter : INFO Created FilterPoll
2011-02-22 17:22:51,188 fail2ban.filter : INFO Added logfile = /var/log/mail.info
2011-02-22 17:22:51,189 fail2ban.filter : INFO Set maxRetry = 3
2011-02-22 17:22:51,190 fail2ban.filter : INFO Set findtime = 600
2011-02-22 17:22:51,191 fail2ban.actions: INFO Set banTime = 3600
2011-02-22 17:22:51,193 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2011-02-22 17:22:51,193 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2011-02-22 17:22:51,194 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
2011-02-22 17:22:51,194 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2011-02-22 17:22:51,195 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2011-02-22 17:22:51,350 fail2ban.actions.action: ERROR iptables -N fail2ban-apache-noscript
iptables -A fail2ban-apache-noscript -j RETURN
iptables -I INPUT -p tcp -m multiport --dports http,https -j fail2ban-apache-noscript returned 400
Ist das ein Problem der Rechte? Kann jemand mit der Meldung etwas anfangen? Ich hab mir schon nen Wolf gegoogelt, aber langsam gehen mir die Ideen aus.
Danke für jede Unterstützung,
Thomas