FailToBan blockt nur einen Port oder alles?

O

Operaiter

New Member
Hallöchen alle zusammen,

ich habe eigentlich nur eine kurze Frage zum Thema "Fail2Ban".

Habe vor mir das System auf meinem Server zu installieren, um den Sicherheitsstandart leicht zu erhöhen ;)

Mir stellt sich nun aber die Frage, ob das Programm den Zugriff von einer IP KOMPLETT sperrt, oder nur auf das Programm?

Anders formuliert:
Ich gebe das Passwort für SSH falsch ein, und werde von Fail2Ban gesperrt. Kann ich dann nur auf SSH nichtmehr zugreifen, oder auf den gesamten Server nichtmehr?

Ich würde es für sehr sinnvoll erachten wenn das letztere der Fall wäre! Aber man weiß ja nie ;) Würdem ich sehr über eine Antwort freuen!!

LG OP
 
Du kannst in der Konfig angeben, welche Ports er sperren soll. Oder du änderst den Befehl zum Sperren entsprechend ab, daß er nicht mehr nur auf bestimmte Ports wirkt.
 
Anders formuliert:
Ich gebe das Passwort für SSH falsch ein, und werde von Fail2Ban gesperrt. Kann ich dann nur auf SSH nichtmehr zugreifen, oder auf den gesamten Server nichtmehr?
Click to expand...

In der Regel wird nur die IP für die Zeit die du eingestellt hat geblockt. Der SSH Zugriff bleibt weiter bestehen, nur nicht von der "Angreifer IP" aus.

Vielleicht sind die zwei folgenden Links für dich interessant:

http://blog.botnetzprovider.de/2010/05/11/ssh-angriffe-mit-fail2ban-stoppen-und-melden-blocklist-de/

http://blog.botnetzprovider.de/2009/02/25/fail2ban-ein-sexy-ssh-blocker/
 
danton said:
Du kannst in der Konfig angeben, welche Ports er sperren soll. Oder du änderst den Befehl zum Sperren entsprechend ab, daß er nicht mehr nur auf bestimmte Ports wirkt.
Click to expand...

Nach einem weiteren kritischen Blick in die Config ist mir das dann auch aufgefallen!! Ich selber finde es nur sinnvoll, wenn die "böse" IP direkt auf allen Ports geblockt wird. Wenn ich für SSH und FTP den selben Usernamen habe probiert er es halt erst da, und DANN da ;)

Also WENN, dann auch komplett dicht! Habe ich dann auch dementsprechend abgeändert in meiner Config-Datei!

Nur leider stoße ich nun auf ein anderes Problem!

Fail2Ban konnt auf Debian Lenny ohne Probleme installiert werden. Habe ein Tutorial aus der FAQ von der Fail2Ban Webseite verfolgt, und meinen SSH Dienst und PROFTP Dienst überwachen lassen.

Wenn ich mich nun zichmal mit falschen Logindaten einlogge werde ich aber (leider!?) immer noch nicht von meinem Server geblockt.

Habe den Dienst nach der Config anpassung auch neugestartet!

Log von F2B sagt folgendes:
PHP: 
2011-01-24 23:23:03,889 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-01-24 23:23:03,892 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-01-24 23:23:03,894 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-01-24 23:23:03,992 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-01-24 23:23:03,997 fail2ban.filter : INFO   Set maxRetry = 3
2011-01-24 23:23:04,005 fail2ban.filter : INFO   Set findtime = 600
2011-01-24 23:23:04,009 fail2ban.actions: INFO   Set banTime = 600
2011-01-24 23:23:04,548 fail2ban.jail   : INFO   Creating new jail 'proftpd'
2011-01-24 23:23:04,551 fail2ban.jail   : INFO   Jail 'proftpd' uses poller
2011-01-24 23:23:04,561 fail2ban.filter : INFO   Added logfile = /var/log/proftpd/proftpd.log
2011-01-24 23:23:04,564 fail2ban.filter : INFO   Set maxRetry = 6
2011-01-24 23:23:04,575 fail2ban.filter : INFO   Set findtime = 600
2011-01-24 23:23:04,581 fail2ban.actions: INFO   Set banTime = 600
2011-01-24 23:23:04,700 fail2ban.jail   : INFO   Jail 'ssh' started
2011-01-24 23:23:04,790 fail2ban.jail   : INFO   Jail 'proftpd' started
2011-01-24 23:23:04,947 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports anyport -j fail2ban-ssh returned 200
2011-01-24 23:23:22,953 fail2ban.actions: WARNING [ssh] Ban 91.57.166.120
2011-01-24 23:23:23,000 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2011-01-24 23:23:23,002 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2011-01-24 23:23:23,129 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports anyport -j fail2ban-ssh returned 200
2011-01-24 23:23:23,178 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2011-01-24 23:23:23,180 fail2ban.actions.action: CRITICAL Unable to restore environment
2011-01-24 23:23:31,186 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:23:36,187 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:23:40,189 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:23:44,189 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:23:49,191 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:24:00,193 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:24:19,201 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:24:25,204 fail2ban.actions: WARNING [ssh] 91.57.166.120 already banned
2011-01-24 23:33:23,500 fail2ban.actions: WARNING [ssh] Unban 91.57.166.120
2011-01-24 23:33:23,546 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2011-01-24 23:33:23,547 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2011-01-24 23:33:23,675 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports anyport -j fail2ban-ssh returned 200
2011-01-24 23:33:23,718 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2011-01-24 23:33:23,719 fail2ban.actions.action: CRITICAL Unable to restore environment

Wie es aussieht kann Fail2Ban die Firwall regeln nicht übernehmen!

Mir stellt sich nun die Frage, ob das im Zusammenhang dazu steht, dass ich einen vServer bei Server4You habe, und die Firewall dort über das Backend konfigurieren kann. Ich könnte mir gut vorstellen, dass ich die Firewall entweder über das WebInterface ansteuern kann, oder über den Server, aber nicht gemischt!

Ist das möglich?!

Würde mich sehr über Hilfe von euch freuen!!

Sehr interessante Links! Besonders der zum Thema Blacklist! Damit werde ich mich auch auseinander setzen! Nur verfolge ich die Device: Step by Step! Wenn F2B sauber läuft werde ich mich auch damit befassen!

LG OP
 
Der iptables-Befehl in deiner Config scheint nicht sauber zu sein, gibt ja entsprechende Fehler im Log.
 
Hallöchen!

Der Fehler ist entstanden, weil ich meinen SSH-Port verlegt habe!

Ich habe Fail2Ban nun meinen neuen SHH-Port mitgeteilt, und jetzt funktioniert alles dadelos!

Danke!
LG OP!
 
You must log in or register to reply here.
Back
Top