Frage zu fail2ban

[Princos]

Hi @ all

zunächst einmal vielen Dank für eure prima Arbeit. Ich habe auf IPC 11.3 upgedatet und alles läuft wie geschmiert!

Ich habe 2 Clients wegen absoluter Unzuverlässigkeit mit der # versehen. Nun bekomme ich permanent Warnings, da die
Spezialisten wohl gerne Leichen in den Configs haben.

Gibt es bei fail2ban eine Möglichkeit die IP´s permanent zu bannen? Wie müßte der Syntax dann aussehen?

Gruß Princos

[TommyH99]

du hast 2 Möglichkeiten

FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.

nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden

IPTables (Firewall)
IP direkt sperren bzw. wenn du einen "richtigen" Router hast, kannst du es dort sperren.

wenn noch nicht installiert => apt-get install iptables
nano /etc/init.d/firewall
Hinzufügen: iptables -A INPUT -p ALL -s IP -j REJECT
/etc/init.d/firewall restart

nachdem du aber die FW aktiv hast, müsstest du auch die Ports, für CS (input - output) freigeben.

nano /etc/init.d/firewall

Bei dir müsste es dann so aussehen ... und tust einfach die Ports hinzufügen (Server Ports von deinen Usern und deinen Server Port)

IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80"

Mit dem Befehl

iptables -L INPUT

kannst du kontrollieren, welche Ports offen sind (ACCEPT) und welche gesperrt werden (DROP oder REJECT)
Hoffe das war verständlich ...

[Princos]

du hast 2 Möglichkeiten

FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.

nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden

Besten Dank, ich habe die Zeit jetzt auf 60000 gesetzt. Somit dürfte für eine Weile Ruhe sein.

Gruß Princos

[Markowitsch]

Hi,

ich habe auch eine Frage zu fail2ban, die hier gut aufgehoben zu sein scheint ..

Im Log erhalte ich in regelmäßigen Abständen folgende Fehlermeldungen:

fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100

Wobei "IP-Adresse" selbstverständlich gültige IPs sind.

Besten Dank für eure Hilfe!

[feissmaik]

@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...

fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...

Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP



PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?

[FunTux]

Vielen Dank ... läuft super mit ipTables

[Markowitsch]

@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...

fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...

Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP

PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?

Zunächst einmal vielen Dank dür deine schnelle Antwort!
Du hast tatsächlich recht mit deiner Vermutung .. Es handelt sich wirklich um einen VPS.

Hier mal mein Log-Verlauf im fail2ban:

2011-05-16 12:34:30,814 fail2ban.actions: WARNING [cccam_illegal] Unban "IP-Adresse"
2011-05-16 12:34:30,819 fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100

Nach dem ich den iptables-Befehl mit der besagten IP-Adresse eingegeben hatte, erhielt ich folgende Meldung:

iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
iptables: Bad rule (does a matching rule exist in that chain?)

In den iptables steht die IP aber nicht drin. Als ich eben nachschaute waren die sogar komplett leer. Es wird also anscheinend eine bestimmte Adresse unbanned, um dann in der gleichen Sekunden wieder gebanned zu werden!? Was macht das für einen Sinn?

Meine Jails haben alle die Standardwerte von bantime = 1800 und maxretry = 10

[feissmaik]

mmh hast du die iptables Zeile eingegeben wärend fail2ban lief oder war das aus?
Weil erst wenn fail2ban gestartet wird werden die iptable chains eingerichtet...


Allerdings würde ich zunächst einmal vermuten das dein Hoster dir die Nutzung von iptables untersagt - das ist leider ein allgemeines Problem bei vServer und VPS 's... Auf solchen System hat man leider den Nachteil das man keinen Kernel selber wählen/kompilieren kann/darf weil das ist fast wie bei ner VM...


Du hast aber durchaus die Möglichkeit noch andere sog. " actions " zu benutzen, iptables ist nur eine
Eingestellt wird das in der Datei /etc/fail2ban/jail.conf über die Einstellung: banaction =

Zb würde sich auch die Nutzung von der Datei /etc/hosts.deny anbieten - darüber würde die IP dann auch komplett ausgesperrt... Das jeweilige action-File wäre /etc/fail2ban/action.d/hostsdeny.conf was du aber i.d.R. so lassen kannst...
Also hierfür dann die Datei /etc/fail2ban/jail.conf anpassen und folgendes einstellen: banaction = hostsdeny


Oder eine andere Möglichkeit wäre vllt auch folgendes, sofern dein Kernel "IP routing" unterstützt:
Erstelle eine neue action Datei: /etc/fail2ban/action.d/route.conf
mit folgendem Inhalt:

Code: Alles auswählen

[Definition]
actionban = ip route add unreachable <ip>
actionunban = ip route del unreachable <ip>

Und dann änderst du in der /etc/fail2ban/jail.conf die Einstellung auf banaction = route und startest fail2ban neu...


PS: Obige Fehlermeldung deutest du falsch... Er will die IP unbannen aber iptables liefert einen ERROR zurück.... Deswegen geschiet das fast Zeitgleich...

[Markowitsch]

.. ganz möchte ich den Standard-Ansatz mit den IP-Tbales noch nicht aufgeben. Da standen ja Einträge drin anfangs.

Jetzt hab ich aber zunächst erstmal ein anderes Problem:

2011-05-26 06:25:03,405 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:03,407 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:04,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2011-05-26 06:25:05,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log

Ich weiß, das ist jetzt ne andere Baustelle.. aber was soll ich machen. Muss die Geschichte scheinbar von hinten aufrollen. Wie genau funktioniert eigentlich Logrotate - und was ist eine sinnvolle Konfiguration?

[TommyH99]

Die INFO im Log ist normal.

Bezüglich logritate

http://www.linux-praxis.de/lpic1/manpag ... otate.html

Befehl: i os
lognorm.sh Logfile-Rotation, taeglich, Debian Lenny-Standard
logmidi.sh Logfile-Rotation, stuendlich, HDD Systeme, mit wenig Platz
logmini.sh Logfile-Rotation, stuendlich, CF-Card Systeme geeignet

IPC Hilfe

http://ipc.pebkac.at/forum/viewtopic.ph ... art=20#p26

Da sollte alles selbst erklärend sein.