Fail2Ban macht Probleme

[Unifex]

Ich habe hier auf einem Server merkwürdige Probleme mit Fail2ban.

Ich habe es installiert wie immer und auch die Jails angepasst.

Das Programm startet meiner Meinung nach nicht obwohl die Ausgabe sagt, es würde starten.

Das sieht dann so aus:

service fail2ban start
[ ok ] Starting authentication failure monitor: fail2ban.

service fail2ban restart
[FAIL] Restarting authentication failure monitor: fail2ban failed!

service fail2ban stop
[ ok ] Stopping authentication failure monitor: fail2ban.

Stoppen kann man den Dienst übrigens so viel, wie man will. Gibt nie einen Fehler aus
Obwohl er sagt, er startet, tut er das nicht wirklich. Er schreibt kein log und beachtet auch nicht meine Jails so wirklich.

Die fail2ban.conf sieht so aus:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision$
#

[Definition]

# Option:  loglevel
# Notes.:  Set the log level output.
#          1 = ERROR
#          2 = WARN
#          3 = INFO
#          4 = DEBUG
# Values:  NUM  Default:  3
#
loglevel = 4

# Option:  logtarget
# Notes.:  Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
#          Only one log target can be specified.
# Values:  STDOUT STDERR SYSLOG file  Default:  /var/log/fail2ban.log
#
logtarget = /var/log/fail2ban.log

# Option: socket
# Notes.: Set the socket file. This is used to communicate with the daemon. Do
#         not remove this file when Fail2ban runs. It will not be possible to
#         communicate with the server afterwards.
# Values: FILE  Default:  /var/run/fail2ban/fail2ban.sock
#
socket = /var/run/fail2ban/fail2ban.sock

Wenn ich eine Status Abfrage mache, sieht das so aus:

service fail2ban status
[....] Status of authentication failure monitor:[....] fail2ban is not running .[F failed!

 

[GwenDragon]

Ich habe es installiert wie immer und auch die Jails angepasst.

Ja, was wie immer auch bedeutet. Selber kompiliert? Aus offiziellen Repo? Plesk in Benutzung?
Und startet fail2ban auch mit der installierten Standardkonfig ohne aktivierte Jails?
Und du benutzt bestimmt Achorman Linux 17.88. Oder was?

Das Programm startet meiner Meinung nach nicht obwohl die Ausgabe sagt, es würde starten.

Eine Meinung ist keine Tatsache.
Hast du schon mit ps aux | grep fail2ban
wirklich nachgesehen, ob da Prozesse sind?

und was sagt denn fail2ban-client -vv reload oder fail2ban-client -vv start

Bitte warum so wenig Informationen? Überhitzter Kopf?

 

[Unifex]

Also ist ein Debian 7.5

Hier die gewünschte Ausgabe:

ps aux | grep fail2ban
root     29711  0.0  0.0   9232   868 pts/0    S+   14:21   0:00 grep fail2ban

Ja, was wie immer auch bedeutet. Selber kompiliert? Aus offiziellen Repo? Plesk in Benutzung?
Und startet fail2ban auch mit der installierten Standardkonfig ohne aktivierte Jails?
Und du benutzt bestimmt Achorman Linux 17.88. Oder was?

Eine Meinung ist keine Tatsache.
Hast du schon mit ps aux | grep fail2ban
wirklich nachgesehen, ob da Prozesse sind?

und was sagt denn fail2ban-client -vv reload oder fail2ban-client -vv start

Bitte warum so wenig Informationen? Überhitzter Kopf?

 

[GwenDragon]

Ja, das zeigt, dass der Fail2Ban-Server nicht läuft.

Bislang weiß ich nicht welche Version du benutzt und woher du die hast.
Und auch nicht, ob du mal den Server mit deaktivierten jails laufen lässt.

Hast du denn meinen Post nicht komplett gesehen? Ich weiß, es ist heiß heute, ich will dir nicht alles aus der Nase ziehen müssen udn raten.
Bitte um mehr Informationen!

 

[Unifex]

Sorry, dass ich mich eine Zeit nicht gemeldet habe aber gesundheitliche Probleme lassen es momentan nicht immer zu am PC zu arbeiten.

Eingesetzt wird die Version 0.8.6-3 wheezy 2 von fail2ban

Interessant ist auch, das es ein fail2ban.log gibt, das vor 4 Tagen angelegt wurde. Allerdings mit 0 Bytes.

Dabei habe ich daran überhaupt nicht gearbeitet. Das Log wurde zu einer Uhrzeit angelegt, wo normalerweise die Log Rotation einsetzt.

Die Ausgabe sieht nun so aus:

ps aux | grep fail2ban
root       821  0.0  0.0   9232   868 pts/0    S+   13:44   0:00 grep fail2ban

 

[GwenDragon]

Was steht in /etc/logrotate.d/fail2ban ?
Werden die Logdateien von fail2ban rotiert?

 

[Unifex]

Was steht in /etc/logrotate.d/fail2ban ?
Werden die Logdateien von fail2ban rotiert?

Da steht ein Eintrag vom 12.07. Vermutlich der Zeitpunkt der Installation.

Inhalt:

/var/log/fail2ban.log {
   
    weekly
    rotate 4
    compress

    delaycompress
    missingok
    postrotate
	fail2ban-client set logtarget /var/log/fail2ban.log >/dev/null
    endscript

    # If fail2ban runs as non-root it still needs to have write access
    # to logfiles.
    # create 640 fail2ban adm
    create 640 root adm
}

 

[GwenDragon]

Ich verwende fail2ban 0.8.13-debian7 da habe ich sowas nie gehabt.


Siehts so aus als ob fail2ban nicht vor den Rotate die Logs rausgibt.

Vielleicht hilft am Anfang ein

prerotate
      /usr/bin/fail2ban-client flushlogs  1>/dev/null || true
endscript

 

[Unifex]

Die Frage ist ja ob es überhaupt richtig läuft.

service fail2ban status
[....] Status of authentication failure monitor:[....] fail2ban is not running .[F failed!

starten und Stoppen gibt immer okay aus. Das kann man so oft machen, wie man will

 

[Unifex]

Vielleicht sollte ich Fail2ban auch einfach erst mal deinstallieren und dann neu installieren.

Würde das so gehen?

apt-get remove --auto-remove fail2ban

apt-get purge --auto-remove fail2ban

 

[Unifex]

Hat jemand vielleicht noch eine Idee, die mir weiterhelfen kann, das Problem zu lösen?

Müsste in dem Pfad nicht eine Datei liegen ( /var/run/fail2ban/fail2ban.sock).

Ich kann die jedenfalls nicht sehen.

 

[GwenDragon]

Weil der Server nicht läuft, existiert auch kein Socket (durch die "Datei" fail2ban.sock "sichtbar").

 

[Unifex]

Ah danke.

Hast du denn noch Ansatzpunkte, was sich machen könnte? Ich meine er sagt, dass er startet, aber tut es nicht. Irgendwie verrückt.

Der Dienst hängt offensichtlich auch nicht, so das ich ihn killen könte, weil du auch gesagt hast er läuft überhaupt nicht.

Was kann ich nur noch tun. Auf keinem Server hatte ich bis jetzt Probleme mit der Software.

 

[GwenDragon]

Und ganz ehrlich, du solltest mal dein Wheezy upgraden auf 7.6. Vielleicht ist das dein Problem.

 

[Unifex]

Das glaube ich ehr nicht.

 

[GwenDragon]

Wir sollen dir Tipps geben für ein System, das seit 3 1/2 Monaten nicht aktualisiert wurde?
Meinst du das ernst?

 

[Unifex]

Wir sollen dir Tipps geben für ein System, das seit 3 1/2 Monaten nicht aktualisiert wurde?
Meinst du das ernst?

Meister. Debian 7.6 gibt es doch erst seit 12 Juli (also praktisch ein paar Tage erst) und ansonsten ist alles auf den neusten Stand gepatcht.

Leute, die immer sofort wenn eine neue Version da ist updaten sind der klassische Fall für ein Serverproblem.


Mit dem Problem hat das auch NULL zu tun.

Ich habe das Problem jetzt selber gelöst (ups, hatte ja überhaupt nichts mit debian 7.5 zu tun.)

Ich könnte die Lösung für andere hier reinschreiben aber aufgrund der unqualifizierten Anmache eines bestimmten Users lasse ich das mal lieber. Solche Leute helfen echt niemanden weiter und vermiesen einem ganz schön, gewonnen Erkenntnisse hier weiter zu geben.

Zum Glück ist das hier nur eine Minderheit.

 

[GwenDragon]

Du kannst das mittlerweile allein lösen. Gut für dich.

 

[nexus]

Ich könnte die Lösung für andere hier reinschreiben aber aufgrund der unqualifizierten Anmache eines bestimmten Users lasse ich das mal lieber. Solche Leute helfen echt niemanden weiter und vermiesen einem ganz schön, gewonnen Erkenntnisse hier weiter zu geben.

Schalt mal bitte nen Gang zurück...Oft genug sind Divergenzen zwischen den Betriebsystemversionen und der installiertten Software Ursache für Probleme.
Davon ab ist es unhöflich, nach Hilfe zu fragen und dann eine gefundene Lösung für sich zu behalten. Das motiviert die Helfenden nicht wirklich...

 

[Alderon]

Manchmal habe ich den Eindruck, dass wir hier im Kindergarten sind.
GwenDragon hat lediglich gesagt, dass das möglicherweise Dein Problem sein könnte und Du reagierst, als ob man Dich persönlich angegriffen und beleidigt hätte.

Und ja, natürlich können vorschnelle Updates zu Problemen führen aber es gibt auch Sicherheitsupdates und bei Problemen macht es durchaus Sinn, dass man ausprobiert, ob eine neue Version nicht ohnehin den zugrundeliegenden Fehler behebt.