HE VServer - fail2ban seltsames Verhalten/crash

[Rukola]

VServer bei HE
Ubuntu 12.04.4 LTS
Plesk 11.5.30
--------------------------

Folgendes Problem....

Ich bin vor kurzem von der VServer Serie 5 auf die 8er gewechselt. Bisher habe ich ua. problemlos fail2ban nutzen können. Nach dem Wechsel läuft etwas nicht mehr Rund.

fail2ban läuft ein paar Tage ohne Probleme... bannt und entbannt wie es soll.

Logauszug (**IPs unkenntlich gemacht):

2014-05-21 14:41:36,885 fail2ban.actions: WARNING [portsentry] Unban 87.247.36.**
2014-05-21 14:41:41,896 fail2ban.actions: WARNING [portsentry] Ban 95.224.246.1
2014-05-21 17:27:53,595 fail2ban.actions: WARNING [portsentry] Unban 220.177.198.**
2014-05-21 17:56:23,101 fail2ban.actions: WARNING [portsentry] Ban 1.34.22.**
2014-05-21 18:22:52,471 fail2ban.actions: WARNING [portsentry] Unban 91.236.116.**
2014-05-21 18:32:29,985 fail2ban.actions: WARNING [portsentry] Ban 23.97.68.**
2014-05-21 21:19:29,117 fail2ban.actions: WARNING [portsentry] Ban 61.19.246.**

Dann aber ohne ersichtlichen Grund plötzlich das hier...

2014-05-21 22:42:03,881 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-portsentry returned 100
2014-05-21 22:42:03,881 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2014-05-21 22:42:03,885 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -j fail2ban-portsentry
iptables -F fail2ban-portsentry
iptables -X fail2ban-portsentry returned 100
2014-05-22 03:30:39,510 fail2ban.actions: WARNING [portsentry] Unban 58.216.29.**
2014-05-22 03:30:39,517 fail2ban.actions.action: ERROR  iptables -D fail2ban-portsentry -s 58.216.29.** -j DROP returned 100
2014-05-22 03:47:21,455 fail2ban.actions: WARNING [portsentry] Unban 190.139.211.**
2014-05-22 03:47:21,463 fail2ban.actions.action: ERROR  iptables -D fail2ban-portsentry -s 190.139.211.** -j DROP returned 100

Von da an bannt file2ban alles was ihm vor die Flinte kommt. Ich habe keinen Zugriff mehr via Console auf den Server, kein Zugang via FTP usw. Alle möglichen Ports werden dicht gemacht.

Ich selber nutze eine statische IP und diese steht bei allen Diensten in der Whitelist, so auch bei file2ban ! Allerdings lande ich dann auch auf der Sperrliste. Einzige Abhilfe ist nur noch ein vollständiger Serverneustart und die nächsten Tage ist Ruhe.

Ich möchte noch hinzufügen wegen den vielen Portsentryeinträgen ... ich nutze dieses nur im Modus wo lediglich ein Eintrag in das Log geschrieben wird, welches dann von einer fail2ban-Regel ausgelesen wird. Wenn ich gebannt werde, dann via FTP Zugriff ...also Portsentry hat nichts damit zu tun....

Den Support habe ich bereits bemüht, dieser gibt aber verständlicherweise keine Unterstüzung bei Fremdsoftware. Wie bereits geschrieben hat es bisher fast 2 Jahre ohne jegliche Störung seinen Dienst getan. Ich bin ratlos was sich nun geändert hat...

 

[GwenDragon]

Ich weiß nicht was Ubuntu nutzt, ich habe auf Debian 7 fail2ban 0.8.6-3wheezy2 und da hatte ich noch nie sowas.
Allerdings hatte ich manchmal Ärger auf vServern mit der Firewall des Virtualisierungscontainers oder mit der aktivierten Plesk Firewall.

Zu deinem Problem gibts folgenden Fix:
http://blog.laimbock.com/2013/01/11/fail2ban-error-invariant-check-failed/
http://www.fail2ban.org/wiki/index.php/Fail2ban:Community_Portal#Bugs_running_action.d_start_actions

 

[GwenDragon]

Hast du eigentlich actionstart geändert wie vorgeschlagen? Oder den Code in fail2ban-client?

Verwendest du Plesk Firewall?


Kann auch sein, dass irgendwas Ressourcen stark verbraucht und der vServer an seien Grenzen kommt.

Was zeigt denn auf der Konsole beancounters
http://kb.parallels.com/de/1354

Falls irgendein failcount angezeigt wird, poste die Ausgabe mal hier.

Oder irgend welche Firewall-Regeln nicht stimmen.

Wahrscheinlich müsste mal ein Administrator nachsehen. Frage doch hier mal im Forum nach, die können dir sagen was es kostet.

 

[GwenDragon]

Hast du das aktuelle 0.8.6-3wheezy2build0.12.04.1 installiert?

 

[Rukola]

- Ich habe als Erstes die Änderung im Client durchgeführt
>Ohne Erfolg

- Dann habe ich fail2ban einmal deaktiviert um generell zu testen ob das Problem woanders liegt
> Nach dem Serverneustart und dem deaktivieren hat es ca. 1h gedauert, bis der Fehler wieder aufgetreten ist.

- Ja ich nutze die Firewall von Plesk
Mit Ubuntu 10.04 LTS + Plesk 10.x nie Probleme mit gleicher Konfiguration und der Firewall. Jetzt nutze ich Ubuntu 12.04 LTS + Plesk 11.5x

- Installiert ist die fail2ban-Version 0.8.6-3wheezy2build0.12.04.1 aus den Packetquellen.


Zu beancounters wäre folgendes zu sagen ....

Ich habe seit der Serverübernahme permanent Warnungen im Container. An den Tagen wo das mit den Ports richtig schlimm war, teilweise 5x pro Stunde -> quotaugidlimit & dcachesize

Dabei ist zu bemerken, dass diese Warnungen schon kamen als noch nichts am laufen war...also nichts von mir gemacht. Ich habe dann den Support kontaktiert, weil ich früher nie irgendwelche Warnmeldungen diesbezüglich beid den alten Kisten hatte.

Antwort: "diese Meldungen haben keine Relevanz und können ignoriert werden"

---
ps.
Ich bin jetzt schon langsam am überlegen, mir einen anderen Anbieter zu suchen der auf KVM virtualisiert und ich dann auch ganz ohne Plesk das Teil betreibe. Ist ja so recht nett, aber wenn ich manchmal was ändern möchte, komme ich immer wieder and den Punkt, dass Plesk ganz seltsame Konfigurationen vornimmt.

 

[GwenDragon]

Plesks Firewall funktionierte früher bei mir auch nicht auf diverse vServern.
Deinstalliere die und stell die Regeln selbst per Hand bei iptables ein.

 

[Rukola]

Ich habe jetzt einfach mal beides geändert actionstart & client ... Drück mir mal die Daumen, aber seit 20 Stunden läuft alles ohne Störung und ohne Fehler in den Logs.

Ich warte jetzt einmal etwas ab bevor ich den nächsten Schritt wie von dir vorgeschlagen mit iptables gehe. Wenn es am WE noch läuft würde ich sagen das war die Lösung