Probleme mit fail2ban

Slowman

Slowman

New Member
Vielleicht kann mir ja einer einen Tip geben, was nicht richtig Rund läuft :(

Ich habe mir Fail2ban über apt-get installiert und die jail.conf alles eingetragen was aktiviert sein soll (im Anhang).

Ich habe das Programm gestoppt und wieder neu gestartet mit der neuen Konfiguration,test gibt aus:
PHP: 
h116xx:~# /etc/init.d/fail2ban status
Status of authentication failure monitor: fail2ban is running

failure monitor kann ich nicht deuten, was das ist, aber die Schlussmeldung ist wichtig, das es lüppt ?
Ich jetzt per putty ssl auf den VServer rauf, 2x flasches Passwort udn ein 3x eingeben, nix passiert, es wird nix gesperrt. :(

Log von fail2ban:

PHP: 
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2007-01-24 15:15:06,052 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2007-01-24 15:15:06,053 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2007-01-24 15:15:06,055 fail2ban.actions.action: INFO   Set actionCheck = iptables -L INPUT | grep -q fail2ban-<name>
2007-01-24 15:16:58,258 fail2ban.actions: WARNING [ssh] Ban -> meine IP
2007-01-24 15:26:58,268 fail2ban.actions: WARNING [ssh] Unban ->meine IP

Bloss komisch, das ich mich trotzdem per ssh einloggen konnte, habe ich vielleicht noch irgendwas vergessen ?

Danke für einen Tip.
 

Attachments

Die Statusmeldung ist vollkommen korrekt.
"authentication failure monitor" ist lediglich der Name des Prozesses :)
 
Danke für die Info.

Weiss Jemamnd, jetzt, wie ich das Programm richtig einstellen muss damit es reagiert ? Kann es an den veränderten Port liegen für ssh ?
 
Hallo,

es funktioniert doch :

..
Code: 
....
2007-01-24 15:16:58,258 fail2ban.actions: WARNING [ssh] Ban -> meine IP
2007-01-24 15:26:58,268 fail2ban.actions: WARNING [ssh] Unban ->meine IP 
...
...
Click to expand...
 
Das sagt es:

PHP: 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
           tcp  --  anywhere             anywhere            tcp dpt:smtp
           tcp  --  anywhere             anywhere            tcp dpt:imap2
           tcp  --  anywhere             anywhere            tcp dpt:pop3
           tcp  --  anywhere             anywhere            tcp dpt:www
           all  --  anywhere             anywhere
fail2ban-ssh  tcp  --  anywhere             anywhere            tcp dpt:ssh
fail2ban-vsftpd  tcp  --  anywhere             anywhere            tcp dpt:ftp
fail2ban-proftpd  tcp  --  anywhere             anywhere            tcp dpt:ftp
fail2ban-apache  tcp  --  anywhere             anywhere            tcp dpt:www
fail2ban-apache-noscript  tcp  --  anywhere             anywhere            tcp dpt:www

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
           tcp  --  anywhere             anywhere            tcp spt:smtp
           tcp  --  anywhere             anywhere            tcp spt:imap2
           tcp  --  anywhere             anywhere            tcp spt:pop3
           tcp  --  anywhere             anywhere            tcp spt:www
           all  --  anywhere             anywhere

Chain fail2ban-apache (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-apache-noscript (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-proftpd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

@phor

Wo kann ich dies auf den aktuellen Port anpassen ?

Danke.
 
Da ich leider keine fail2ban Configuration da habe, wärst du so nett diese Datei hier mal zu posten:
/etc/fail2ban.conf

Dann könnte ich dir sagen was du ändern musst. Irgendwo musst du halt Port 22 auf den Port verändern auf dem dein SSH Server läuft.
 
@djrick

Hängt oben im 1. Posting von mir dran, die Configs wurden seit der Version 0.8 umgestellt, es wird nicht mehr in Fail2ban.con sondern jail.conf
 
Slowman said:
Wo kann ich dies auf den aktuellen Port anpassen ?
Click to expand...

Hatte das selbe Problem. Nachdem ich in der sshd_config den Port wieder auf "22" gestellt hatte, hat es funktioniert. Sicher ist es auch irgendwie möglich, einen anderen Port zu wählen und diesen mit fail2ban zu sichern, weiß aber nicht wie ;-) (In der jail.conf für Port statt "ssh" "12345" (individueller Port) eingeben, ging nicht.)

Allerdings habe ich ohnehin keine SSH-Loginversuche, wenn ich den Port verlege. ;-)
 
Weiß denn nun jemand, wie man bei fail2ban den Port umstellt. Bei mir läuft SSH nämlich auch woanders und ich will es eigentlich nicht wieder auf 22 zurücksetzten. In der Jail.conf habe ich mal den port hinter den "port="-Eintrag gehängt, doch das zeigt leider keine Wirkung! Iptables zeigt nichts an...
 
Und bei dem anderen Port sperrt er nicht ?
Warum willst du den ssh-Port nicht wieder ändern, da er jetzt durch fail2ban gesichert ist ?
 
Nee, bei dem anderen Port passiert nichts. Fail2Ban an sich funktioniert, zum beispiel werden falsche logins im proftpd sofort geblockt... Ich will den Port eigentlich nicht ändern, da die Anzahl der "Angriffe" auf den höheren Port deutlich geringer ist, als auf den Standard-Port...
 
Hat da denn jetzt schon einer eine Lösung für? Ich habe ssh auch über einen anderen Port laufen und fail2ban funktioniert dort nicht.


Gruß,
Pii
 
Mit der Option "port = 12345" funktioniert das Problemlos.
Ihr solltet beim testen vielleicht nur mal darauf achten, was in der Log steht die fail2ban auswertet. :rolleyes:

Sowas wie
Code: 
Jul 20 23:13:49 srv1 sshd[21447]: Failed password for testuser from 123.123.123.123 port 52574 ssh2
Jul 20 23:14:01 srv1 last message repeated 4 times

nützt euch nämlich nichts. Damit kann fail2ban nicht umgehen.
Fail2ban erwartet die Zeile "Failed password ..." mehrfach in der Log hintereinander.
 
Hallo,

ich habe mir auf meinen Server (Debian Sarge) auch mal fail2ban installiert und die jail.conf soweit angepasst und auch getestet. SSH läuft auf einen anderen Port als 22, habe also port = 12423 eingetragen und den nimmt er auch. Nach 3x falschen Logins sehe ich kein Prompt mehr und komme nicht mehr drauf. Nach 15min war ich dann wieder entsperrt und in der fail2ban.log fand ich auch zwei Einträge "Ban -> meine IP" und später "Unban -> meine IP".

Läuft also alles soweit... allerdings nur beim SSH. Habe proftpd auf Port 22 laufen und es in der jail.conf auch true gestellt. Allerdings funktioniert es damit nicht - nach 6 falschen Logins werde ich nicht gebannt, in den Logs steht nur:

(Auszug)
67 2008-08-24 10:55:04,929 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
68 2008-08-24 10:55:04,930 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
69 iptables -F fail2ban-<name>
70 iptables -X fail2ban-<name>
71 2008-08-24 10:55:04,933 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
72 iptables -A fail2ban-<name> -j RETURN
73 iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
74 2008-08-24 10:55:04,935 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
75 2008-08-24 10:55:04,937 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
76 2008-08-24 10:56:19,044 fail2ban.actions: WARNING [ssh] Ban 80.137.178.158
77 2008-08-24 11:12:59,162 fail2ban.actions: WARNING [ssh] Unban 80.137.178.158
78 2008-08-24 12:31:55,503 fail2ban.server : INFO Exiting Fail2ban
79 2008-08-24 12:31:55,864 fail2ban.jail : INFO Using poller
80 2008-08-24 12:31:55,874 fail2ban.filter : INFO Created Filter
81 2008-08-24 12:31:55,874 fail2ban.filter : INFO Created FilterPoll
82 2008-08-24 12:31:55,875 fail2ban.filter : INFO Added logfile = /var/log/proftpd/proftpd.log
83 2008-08-24 12:31:55,877 fail2ban.filter : INFO Set maxRetry = 3
84 2008-08-24 12:31:55,881 fail2ban.filter : INFO Set findtime = 600
85 2008-08-24 12:31:55,883 fail2ban.actions: INFO Set banTime = 1000
86 2008-08-24 12:31:55,887 fail2ban.filter : INFO Set failregex = USER \S+: no such user found from \S* ?\[(?:::f{4,6}:)?(?P<host>\S+)\] to \S+\s*$
87 2008-08-24 12:31:55,888 fail2ban.filter : INFO Set ignoreregex =
88 2008-08-24 12:31:55,892 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
89 2008-08-24 12:31:55,894 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
90 iptables -F fail2ban-<name>
91 iptables -X fail2ban-<name>
92 2008-08-24 12:31:55,896 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
93 iptables -A fail2ban-<name> -j RETURN
94 iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
95 2008-08-24 12:31:55,898 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
Click to expand...
Jemand eine Lösung wieso es bei SSH klappt aber nicht bei proFTP?
 
Ihr solltet beim testen vielleicht nur mal darauf achten, was in der Log steht die fail2ban auswertet.

Sowas wie
Code:

Jul 20 23:13:49 srv1 sshd[21447]: Failed password for testuser from 123.123.123.123 port 52574 ssh2
Jul 20 23:14:01 srv1 last message repeated 4 times

nützt euch nämlich nichts. Damit kann fail2ban nicht umgehen.
Fail2ban erwartet die Zeile "Failed password ..." mehrfach in der Log hintereinander.
Click to expand...

Hallo Zusammen,

ich grabe diesen Thread mal wieder aus, weil ich auf oben genanntes Problem gestoßen bin.
Habe fail2ban erfolgreich auf meinem Debian 4.0 VServer installiert und konfiguriert.
Jedoch greift fail2ban ja bekanntlich nicht bei der Message "last message repeatet x times" in auth.log.
Wie kann ich diesem Problem vorbeugen, dass dennoch die Fehlversuche gebannt werden?

Auch das Senden von Emails funktioniert nicht, obwohl Sie in der jail.local (ersetzt bzw. überschreibt die jail.conf) unter


Grüße
Code: 
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = fail2ban@meinedomain.de

eingetragen ist.

Grüße
sTaN
 
Last edited by a moderator:
sTaN said:
Auch das Senden von Emails funktioniert nicht, obwohl Sie in der jail.local (ersetzt bzw. überschreibt die jail.conf) unter


Grüße
Code: 
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = fail2ban@meinedomain.de

eingetragen ist.

Grüße
sTaN
Click to expand...

In der jail.conf muss bei actions das versenden von Mails aktiviert werden.
Entweder:
Code: 
action = %(action_mw)s

Oder:
Code: 
action = %(action_mwl)s
 
Hallo,

die Zeile ist bei mir nicht vorhanden, habe Sie unter destemail eingefügt und bekomme dennoch keine Mails:

Code: 
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = email.de

# Default action to take: ban & send an e-mail with whois report
# # to the destemail.
action = %(action_mwl)s

Zum ersten Problem jemdand einen Vorschlag?

gruß
sTaN
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top