Frage zu fail2ban

[Markowitsch]

.. ich glaube ich habe den Fehler gefunden.

Anfangs verhielt es sich mit der banaction = hostsdeny genau wie zuvor auch. Es wurde gebanned, unbanned und nichts mehr.. Bei genauerem Hinsehen ist mir aufgefallen, dass die syslog in einer anderen Zeitzone gelogt hat. ^^ Sprich der Log vom fail2ban und der vom syslog lagen zwei Stunden auseinander. So konnte das ja nicht funktionieren.

Auf jeden Fall funktioniert jetzt alles wie´s soll! Stellt sich mir nun die Frage, welche Variante die geschicktere ist.
Soll ich nun die host.deny oder doch wieder die IPtables verwenden?

Ich würde gerne testen, ob die IPtables überhaupt funktionieren würden.. da es sich um ein VPS handelt, der nur remote bedient wird, bräuchte ich einen Befehl, der mir z.B. einen ausgehenden Ping auf eure Website verbietet. Weil hinsurfen kann ich von dem Geräte ja nicht. Wie sähe ein solches Kommando aus?

Vielen Dank nochmals für die Unterstützung!

[feissmaik]

...und was war nun die Lösung?

weil kann mir irgendwie nicht vorstellen das die Logfiles unterschiedliche Zeitzonen verwenden - wäre mir zumindest neu - eigentlich nutzt das gesammte system die gleiche zeitzone und fail2ban beachtet eigentlich auch nicht seine eigenen logs sondern nur die, die in der jail.conf eingestellt wurden... ausserdem haste doch geschrieben das er sowohl banned als auch unbanned - also hat er offentlichlich schon ne action anhand dessen was er im entsprechenden Log gefunden hat, durchgeführt - genau das was fail2ban machen soll?


Ein Kommando zum blocken von eingehenden Verbindungen via iptables nannte ich dir bereits
Und natürlich kannst du mit Linux auch ohne x11/desktop/maus surfen -> apt-get install lynx

Btw: Wenn denn jetzt alles funktioniert wie es soll, wieso brauchst du dann nen iptables kommando um das seperat zu testen?

[Markowitsch]

Ich hatte vor längerem mal die Kerneluhr auf CEST umgestellt, die Hardwareuhr lief aber noch in UTC Zeitzone.

Der fail2ban Log war komischerweise in der korrekten Zeitzone CEST der syslog lief aber in UTC. Der war also zwei Stunden voraus. Wie genau das jetzt die Funktionsweise beeinflusst hat, versteh ich auch nicht so ganz. Auf jeden Fall muss es damit zu tun gehabt haben - weil es klappt ja jetzt!

Btw: Wenn denn jetzt alles funktioniert wie es soll, wieso brauchst du dann nen iptables kommando um das seperat zu testen?

Weiß nicht.. was wäre denn besser? Deswegen frag ich ja..

[feissmaik]

Achso Oke - an den Kernel hab ich jetzt garnicht gedacht weil normalerweise ändert sich daran ja nichts wenn mans System normal installiert


Über iptables wird die IP soweit ich weiss nur für den jeweiligen Port gesperrt und über /etc/hosts.deny wird die ganze IP geblockt, egal welcher Port/Dienst


Ob fail2ban funktioniert kannst du auch über ne CCcam-client testen also indem du dich stumpf mit einem falschen user+pass auf deinem CCcam-Server anzumelden versuchst - cccam_sign oder cccam_illegal vorrausgesetzt...

Beachte dabei aber, dass du über die banaction hostsdeny dich dann selber komplett aussperrst also dich auch nicht mehr via SSH anmelden kannst!

[Markowitsch]

Über iptables wird die IP soweit ich weiss nur für den jeweiligen Port gesperrt und über /etc/hosts.deny wird die ganze IP geblockt, egal welcher Port/Dienst

Der Ansatz gefällt mir ganz gut. Wobei das ja auch mit bannaction = iptables-allports und port = anyport gehen würde, glaube ich..

Ich würde mich hier gerne noch ein bisschen weiter mit dir über die Funktionsweise von fail2ban austauschen - wenn du erlaubst - hat mir echt geholfen bis jetzt, danke!

Zuerst interessieren mich die Standard-Filter für die CCcam:
[cccam_sign]
Was genau ist denn eigentlich eine falsche Signatur? Eine SCAM/OSCAM die auf einen CCcam-Server zugreift, hat die eine gültige Signatur?

[cccam_badcmd]
Gleiche Frage hier.. Wenn ich den reinhau, sperr ich mich selber aus.
Ich verwende CCcam und dIe C-Line ist auch O.K. ^^

[cccam_2login]
Ich nehme an die gleiche Line darf nicht zweimal verwendet werden - oder bedeutet das nur eine Line pro IP ?

[cccam_illegal]
Der einzige, der für mich komplett selbsterklärend ist: Benutzer ohne gültige F-Line in meiner Config werden gebannt.

[feissmaik]

cccam_sign sind Logmeldungen von CCcam bezüglich signature failed ... wann/warum die genau von CCcam erzeugt werden weiss ich leider auch nicht (mehr) genau - soweit ich weiss kommt eine "siganture failed" Meldung aber auch wenn sich jemand unbekanntes oder 2x einlogged

cccam_badcmd sind bad commands... also ungültige/unerwünschte Befehle vom Clients - werden soweit ich weiss verstärkt von den neueren 2.2.x Versionen erzeugt und verursachen in Verbindung mit älteren CCcam-Serverversionen die meisten Probleme... Welche genau das sind weiss ich gerade aber auch nicht....

cccam_2login sind zwei Logins des gleichen Benutzers - IP unabhängig

cccam_illegal sind, wie bereits bekannt, Verbindungsversuche ohne passende F-line



Dabei zu beachten ist aber auch, dass sich die Logausgabe (bzw filter) von den alten CCcam Versionen zu den neuen unterscheiden, wodurch vllt mehr zu erkennen ist:

badcmd
v2.0.11 -> CCcam: deleting client <HOST>.*, read result -1
v2.1.1 -> CCcam: deleting client <HOST>.*, bad command
>=v2.1.2 -> CCcam: kick <HOST>.*, bad command

sign
v2.0.11 & v2.1.1 -> CCcam: deleting client <HOST>, signature failed
>=v2.1.2 -> CCcam: kick <HOST>, signature failed

2login
v2.0.11 & v2.1.1 -> CCcam: client .* already connected, remove stale connection \(<HOST>\)
>=v2.1.2 -> CCcam: double login .*, .* \(<HOST>\)

illegal
v2.x.x -> CCcam: illegal user .* from <HOST>

[Markowitsch]

Da wirft sich natürlich die Frage auf, ob man bestimmte Clients, denen man vertraut, vom Gebanntwerden ausklammern kann!?

[feissmaik]

Ja das kannst du in der /etc/fail2ban/jail.conf einstellen:

Code: Alles auswählen

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1

Vertrauen oder nicht würde ich hierbei zunächst nicht beachten -- meine eigene Erfahrung ist, dass 2.2.x Clients meinen 2.1.1 Server zum crashn bringen und ich deshalb keinen Client mehr mit 2.2.x erlaube - wer sich weigert downzugraden, fliegt runter....
Stabilität ist mir wichtig(er) und Clientseitig gibts absolut kein Grund unbedingt ne 2.2.x benutzen zu müssen...

[Markowitsch]

..und ich deshalb keinen Client mehr mit 2.2.x erlaube

Das machst du dann aber händisch. Mit fail2ban kannste das ja nicht filtern und in der Config kann man soweit ich weiß, nur ein Minimum festlegen.

Was kann ich denn machen, wenn ich jetzt mich jetzt selbst ausklammern möchte? Hab ja dann weder eine feste IP, noch eine dyndns?

[TommyH99]

naja, ohne dyndns oder fixen IP wirds nicht möglich sein - wie auch?!