Frage zu fail2ban
Frage zu fail2ban
Hi @ all
zunächst einmal vielen Dank für eure prima Arbeit. Ich habe auf IPC 11.3 upgedatet und alles läuft wie geschmiert!
Ich habe 2 Clients wegen absoluter Unzuverlässigkeit mit der # versehen. Nun bekomme ich permanent Warnings, da die
Spezialisten wohl gerne Leichen in den Configs haben.
Gibt es bei fail2ban eine Möglichkeit die IP´s permanent zu bannen? Wie müßte der Syntax dann aussehen?
Gruß Princos
zunächst einmal vielen Dank für eure prima Arbeit. Ich habe auf IPC 11.3 upgedatet und alles läuft wie geschmiert!
Ich habe 2 Clients wegen absoluter Unzuverlässigkeit mit der # versehen. Nun bekomme ich permanent Warnings, da die
Spezialisten wohl gerne Leichen in den Configs haben.
Gibt es bei fail2ban eine Möglichkeit die IP´s permanent zu bannen? Wie müßte der Syntax dann aussehen?
Gruß Princos
Re: Frage zu fail2ban
du hast 2 Möglichkeiten
FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.
nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden
IPTables (Firewall)
IP direkt sperren bzw. wenn du einen "richtigen" Router hast, kannst du es dort sperren.
wenn noch nicht installiert => apt-get install iptables
nano /etc/init.d/firewall
Hinzufügen: iptables -A INPUT -p ALL -s IP -j REJECT
/etc/init.d/firewall restart
nachdem du aber die FW aktiv hast, müsstest du auch die Ports, für CS (input - output) freigeben.
nano /etc/init.d/firewall
Bei dir müsste es dann so aussehen ... und tust einfach die Ports hinzufügen (Server Ports von deinen Usern und deinen Server Port)
IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80"
Mit dem Befehl
iptables -L INPUT
kannst du kontrollieren, welche Ports offen sind (ACCEPT) und welche gesperrt werden (DROP oder REJECT)
Hoffe das war verständlich ...
FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.
nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden
IPTables (Firewall)
IP direkt sperren bzw. wenn du einen "richtigen" Router hast, kannst du es dort sperren.
wenn noch nicht installiert => apt-get install iptables
nano /etc/init.d/firewall
Hinzufügen: iptables -A INPUT -p ALL -s IP -j REJECT
/etc/init.d/firewall restart
nachdem du aber die FW aktiv hast, müsstest du auch die Ports, für CS (input - output) freigeben.
nano /etc/init.d/firewall
Bei dir müsste es dann so aussehen ... und tust einfach die Ports hinzufügen (Server Ports von deinen Usern und deinen Server Port)
IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80"
Mit dem Befehl
iptables -L INPUT
kannst du kontrollieren, welche Ports offen sind (ACCEPT) und welche gesperrt werden (DROP oder REJECT)
Hoffe das war verständlich ...
if ($ahnung == false or $problem == true) { read FAQ; use SEARCH; use GOOGLE; } else { use brain; make post; }
Re: Frage zu fail2ban
Besten Dank, ich habe die Zeit jetzt auf 60000 gesetzt. Somit dürfte für eine Weile Ruhe sein.TommyH99 hat geschrieben:du hast 2 Möglichkeiten
FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.
nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden
Gruß Princos
-
- IPC Neuling
- Beiträge: 16
- Registriert: So 15. Mai 2011, 11:59
- Kontaktdaten:
Re: Frage zu fail2ban
Hi,
ich habe auch eine Frage zu fail2ban, die hier gut aufgehoben zu sein scheint ..
Im Log erhalte ich in regelmäßigen Abständen folgende Fehlermeldungen:
fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100
Wobei "IP-Adresse" selbstverständlich gültige IPs sind.
Besten Dank für eure Hilfe!
ich habe auch eine Frage zu fail2ban, die hier gut aufgehoben zu sein scheint ..
Im Log erhalte ich in regelmäßigen Abständen folgende Fehlermeldungen:
fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100
Wobei "IP-Adresse" selbstverständlich gültige IPs sind.
Besten Dank für eure Hilfe!
-
- Entwickler Team
- Beiträge: 2576
- Registriert: So 17. Apr 2011, 11:39
- Been thanked: 1 time
- Kontaktdaten:
Re: Frage zu fail2ban
@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...
fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...
Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?
fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...
Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?
Du musst nicht kämpfen um zu siegen
-
- IPC Neuling
- Beiträge: 16
- Registriert: So 15. Mai 2011, 11:59
- Kontaktdaten:
Re: Frage zu fail2ban
Zunächst einmal vielen Dank dür deine schnelle Antwort!feissmaik hat geschrieben:@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...
fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...
Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?
Du hast tatsächlich recht mit deiner Vermutung .. Es handelt sich wirklich um einen VPS.
Hier mal mein Log-Verlauf im fail2ban:
2011-05-16 12:34:30,814 fail2ban.actions: WARNING [cccam_illegal] Unban "IP-Adresse"
2011-05-16 12:34:30,819 fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100
Nach dem ich den iptables-Befehl mit der besagten IP-Adresse eingegeben hatte, erhielt ich folgende Meldung:
iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
iptables: Bad rule (does a matching rule exist in that chain?)
In den iptables steht die IP aber nicht drin. Als ich eben nachschaute waren die sogar komplett leer. Es wird also anscheinend eine bestimmte Adresse unbanned, um dann in der gleichen Sekunden wieder gebanned zu werden!? Was macht das für einen Sinn?
Meine Jails haben alle die Standardwerte von bantime = 1800 und maxretry = 10
-
- Entwickler Team
- Beiträge: 2576
- Registriert: So 17. Apr 2011, 11:39
- Been thanked: 1 time
- Kontaktdaten:
Re: Frage zu fail2ban
mmh hast du die iptables Zeile eingegeben wärend fail2ban lief oder war das aus?
Weil erst wenn fail2ban gestartet wird werden die iptable chains eingerichtet...
Allerdings würde ich zunächst einmal vermuten das dein Hoster dir die Nutzung von iptables untersagt - das ist leider ein allgemeines Problem bei vServer und VPS 's... Auf solchen System hat man leider den Nachteil das man keinen Kernel selber wählen/kompilieren kann/darf weil das ist fast wie bei ner VM...
Du hast aber durchaus die Möglichkeit noch andere sog. " actions " zu benutzen, iptables ist nur eine
Eingestellt wird das in der Datei /etc/fail2ban/jail.conf über die Einstellung: banaction =
Zb würde sich auch die Nutzung von der Datei /etc/hosts.deny anbieten - darüber würde die IP dann auch komplett ausgesperrt... Das jeweilige action-File wäre /etc/fail2ban/action.d/hostsdeny.conf was du aber i.d.R. so lassen kannst...
Also hierfür dann die Datei /etc/fail2ban/jail.conf anpassen und folgendes einstellen: banaction = hostsdeny
Oder eine andere Möglichkeit wäre vllt auch folgendes, sofern dein Kernel "IP routing" unterstützt:
Erstelle eine neue action Datei: /etc/fail2ban/action.d/route.conf
mit folgendem Inhalt:
Und dann änderst du in der /etc/fail2ban/jail.conf die Einstellung auf banaction = route und startest fail2ban neu...
PS: Obige Fehlermeldung deutest du falsch... Er will die IP unbannen aber iptables liefert einen ERROR zurück.... Deswegen geschiet das fast Zeitgleich...
Weil erst wenn fail2ban gestartet wird werden die iptable chains eingerichtet...
Allerdings würde ich zunächst einmal vermuten das dein Hoster dir die Nutzung von iptables untersagt - das ist leider ein allgemeines Problem bei vServer und VPS 's... Auf solchen System hat man leider den Nachteil das man keinen Kernel selber wählen/kompilieren kann/darf weil das ist fast wie bei ner VM...
Du hast aber durchaus die Möglichkeit noch andere sog. " actions " zu benutzen, iptables ist nur eine
Eingestellt wird das in der Datei /etc/fail2ban/jail.conf über die Einstellung: banaction =
Zb würde sich auch die Nutzung von der Datei /etc/hosts.deny anbieten - darüber würde die IP dann auch komplett ausgesperrt... Das jeweilige action-File wäre /etc/fail2ban/action.d/hostsdeny.conf was du aber i.d.R. so lassen kannst...
Also hierfür dann die Datei /etc/fail2ban/jail.conf anpassen und folgendes einstellen: banaction = hostsdeny
Oder eine andere Möglichkeit wäre vllt auch folgendes, sofern dein Kernel "IP routing" unterstützt:
Erstelle eine neue action Datei: /etc/fail2ban/action.d/route.conf
mit folgendem Inhalt:
Code: Alles auswählen
[Definition]
actionban = ip route add unreachable <ip>
actionunban = ip route del unreachable <ip>
PS: Obige Fehlermeldung deutest du falsch... Er will die IP unbannen aber iptables liefert einen ERROR zurück.... Deswegen geschiet das fast Zeitgleich...
Du musst nicht kämpfen um zu siegen
-
- IPC Neuling
- Beiträge: 16
- Registriert: So 15. Mai 2011, 11:59
- Kontaktdaten:
Re: Frage zu fail2ban
.. ganz möchte ich den Standard-Ansatz mit den IP-Tbales noch nicht aufgeben. Da standen ja Einträge drin anfangs.
Jetzt hab ich aber zunächst erstmal ein anderes Problem:
2011-05-26 06:25:03,405 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:03,407 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:04,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2011-05-26 06:25:05,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
Ich weiß, das ist jetzt ne andere Baustelle.. aber was soll ich machen. Muss die Geschichte scheinbar von hinten aufrollen. Wie genau funktioniert eigentlich Logrotate - und was ist eine sinnvolle Konfiguration?
Jetzt hab ich aber zunächst erstmal ein anderes Problem:
2011-05-26 06:25:03,405 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:03,407 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:04,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2011-05-26 06:25:05,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
Ich weiß, das ist jetzt ne andere Baustelle.. aber was soll ich machen. Muss die Geschichte scheinbar von hinten aufrollen. Wie genau funktioniert eigentlich Logrotate - und was ist eine sinnvolle Konfiguration?
Re: Frage zu fail2ban
Die INFO im Log ist normal.
Bezüglich logritate
http://www.linux-praxis.de/lpic1/manpag ... otate.html
Befehl: i os
lognorm.sh Logfile-Rotation, taeglich, Debian Lenny-Standard
logmidi.sh Logfile-Rotation, stuendlich, HDD Systeme, mit wenig Platz
logmini.sh Logfile-Rotation, stuendlich, CF-Card Systeme geeignet
IPC Hilfe
http://ipc.pebkac.at/forum/viewtopic.ph ... art=20#p26
Da sollte alles selbst erklärend sein.
Bezüglich logritate
http://www.linux-praxis.de/lpic1/manpag ... otate.html
Befehl: i os
lognorm.sh Logfile-Rotation, taeglich, Debian Lenny-Standard
logmidi.sh Logfile-Rotation, stuendlich, HDD Systeme, mit wenig Platz
logmini.sh Logfile-Rotation, stuendlich, CF-Card Systeme geeignet
IPC Hilfe
http://ipc.pebkac.at/forum/viewtopic.ph ... art=20#p26
Da sollte alles selbst erklärend sein.
if ($ahnung == false or $problem == true) { read FAQ; use SEARCH; use GOOGLE; } else { use brain; make post; }
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast