Seite 1 von 4
Frage zu fail2ban
Verfasst: Di 10. Mai 2011, 22:36
von Princos
Hi @ all
zunächst einmal vielen Dank für eure prima Arbeit. Ich habe auf IPC 11.3 upgedatet und alles läuft wie geschmiert!
Ich habe 2 Clients wegen absoluter Unzuverlässigkeit mit der # versehen. Nun bekomme ich permanent Warnings, da die
Spezialisten wohl gerne Leichen in den Configs haben.
Gibt es bei fail2ban eine Möglichkeit die IP´s permanent zu bannen? Wie müßte der Syntax dann aussehen?
Gruß Princos
Re: Frage zu fail2ban
Verfasst: Di 10. Mai 2011, 23:10
von TommyH99
du hast 2 Möglichkeiten
FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.
nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden
IPTables (Firewall)
IP direkt sperren bzw. wenn du einen "richtigen" Router hast, kannst du es dort sperren.
wenn noch nicht installiert => apt-get install iptables
nano /etc/init.d/firewall
Hinzufügen: iptables -A INPUT -p ALL -s IP -j REJECT
/etc/init.d/firewall restart
nachdem du aber die FW aktiv hast, müsstest du auch die Ports, für CS (input - output) freigeben.
nano /etc/init.d/firewall
Bei dir müsste es dann so aussehen ... und tust einfach die Ports hinzufügen (Server Ports von deinen Usern und deinen Server Port)
IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80"
Mit dem Befehl
iptables -L INPUT
kannst du kontrollieren, welche Ports offen sind (ACCEPT) und welche gesperrt werden (DROP oder REJECT)
Hoffe das war verständlich ...
Re: Frage zu fail2ban
Verfasst: Do 12. Mai 2011, 15:33
von Princos
TommyH99 hat geschrieben:du hast 2 Möglichkeiten
FailBan
auf eine höhere Zeitspanne bannen, sobald die Zeit abgelaufen ist und er versucht sich wieder zu verbinden, wird er gleich darauf gebannt (retry = x) ... verursacht auch nicht wirklick last am server ... oder, siehe unten.
nano /etc/fail2ban/jail.conf (ganz unten )
bantime = x # x = sekunden
Besten Dank, ich habe die Zeit jetzt auf 60000 gesetzt. Somit dürfte für eine Weile Ruhe sein.
Gruß Princos
Re: Frage zu fail2ban
Verfasst: Mo 16. Mai 2011, 13:12
von Markowitsch
Hi,
ich habe auch eine Frage zu fail2ban, die hier gut aufgehoben zu sein scheint ..
Im Log erhalte ich in regelmäßigen Abständen folgende Fehlermeldungen:
fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100
Wobei "IP-Adresse" selbstverständlich gültige IPs sind.
Besten Dank für eure Hilfe!
Re: Frage zu fail2ban
Verfasst: Di 17. Mai 2011, 08:56
von feissmaik
@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...
fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...
Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?
Re: Frage zu fail2ban
Verfasst: Di 17. Mai 2011, 11:35
von FunTux
Vielen Dank ... läuft super mit ipTables
Re: Frage zu fail2ban
Verfasst: Mi 18. Mai 2011, 08:26
von Markowitsch
feissmaik hat geschrieben:@Markowitsch: Die Meldung steht zwar im fail2ban.log, kommt aber von iptables...
fail2ban ist standardmässig so konfiguriert, dass es iptables ausführt und wenn das nicht funzt werden nur gewisse errorcodes retured (100 200 300 400 etc)...
Dh. gib die komplette Zeile die iptables ausführen soll, manuell mal ein, dann sollte dir iptables genauere Infos zurück geben...
Also: iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
PS: Nur mal sone Vermutung: Kann es sein das diese Meldung von einem vServer oder VPS stammt?
Zunächst einmal vielen Dank dür deine schnelle Antwort!
Du hast tatsächlich recht mit deiner Vermutung .. Es handelt sich wirklich um einen VPS.
Hier mal mein Log-Verlauf im fail2ban:
2011-05-16 12:34:30,814 fail2ban.actions: WARNING [cccam_illegal] Unban "IP-Adresse"
2011-05-16 12:34:30,819 fail2ban.actions.action: ERROR iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP returned 100
Nach dem ich den iptables-Befehl mit der besagten IP-Adresse eingegeben hatte, erhielt ich folgende Meldung:
iptables -D fail2ban-cccam_illegal -s "IP-Adresse" -j DROP
iptables: Bad rule (does a matching rule exist in that chain?)
In den iptables steht die IP aber nicht drin. Als ich eben nachschaute waren die sogar komplett leer. Es wird also anscheinend eine bestimmte Adresse unbanned, um dann in der gleichen Sekunden wieder gebanned zu werden!? Was macht das für einen Sinn?
Meine Jails haben alle die Standardwerte von bantime = 1800 und maxretry = 10
Re: Frage zu fail2ban
Verfasst: Mi 18. Mai 2011, 11:24
von feissmaik
mmh hast du die iptables Zeile eingegeben wärend fail2ban lief oder war das aus?
Weil erst wenn fail2ban gestartet wird werden die iptable chains eingerichtet...
Allerdings würde ich zunächst einmal vermuten das dein Hoster dir die Nutzung von iptables untersagt - das ist leider ein allgemeines Problem bei vServer und VPS 's... Auf solchen System hat man leider den Nachteil das man keinen Kernel selber wählen/kompilieren kann/darf weil das ist fast wie bei ner VM...
Du hast aber durchaus die Möglichkeit noch andere sog. " actions " zu benutzen, iptables ist nur eine
Eingestellt wird das in der Datei
/etc/fail2ban/jail.conf über die Einstellung:
banaction =
Zb würde sich auch die Nutzung von der Datei
/etc/hosts.deny anbieten - darüber würde die IP dann auch komplett ausgesperrt... Das jeweilige action-File wäre /etc/fail2ban/action.d/hostsdeny.conf was du aber i.d.R. so lassen kannst...
Also hierfür dann die Datei
/etc/fail2ban/jail.conf anpassen und folgendes einstellen:
banaction = hostsdeny
Oder eine andere Möglichkeit wäre vllt auch folgendes, sofern dein Kernel "IP routing" unterstützt:
Erstelle eine neue action Datei:
/etc/fail2ban/action.d/route.conf
mit folgendem Inhalt:
Code: Alles auswählen
[Definition]
actionban = ip route add unreachable <ip>
actionunban = ip route del unreachable <ip>
Und dann änderst du in der
/etc/fail2ban/jail.conf die Einstellung auf
banaction = route und startest fail2ban neu...
PS: Obige Fehlermeldung deutest du falsch... Er will die IP unbannen aber iptables liefert einen ERROR zurück.... Deswegen geschiet das fast Zeitgleich...
Re: Frage zu fail2ban
Verfasst: Do 26. Mai 2011, 09:57
von Markowitsch
.. ganz möchte ich den Standard-Ansatz mit den IP-Tbales noch nicht aufgeben. Da standen ja Einträge drin anfangs.
Jetzt hab ich aber zunächst erstmal ein anderes Problem:
2011-05-26 06:25:03,405 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:03,407 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2011-05-26 06:25:04,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2011-05-26 06:25:05,009 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
Ich weiß, das ist jetzt ne andere Baustelle.. aber was soll ich machen. Muss die Geschichte scheinbar von hinten aufrollen. Wie genau funktioniert eigentlich Logrotate - und was ist eine sinnvolle Konfiguration?
Re: Frage zu fail2ban
Verfasst: Do 26. Mai 2011, 11:16
von TommyH99
Die
INFO im Log ist normal.
Bezüglich logritate
http://www.linux-praxis.de/lpic1/manpag ... otate.html
Befehl: i os
lognorm.sh Logfile-Rotation, taeglich, Debian Lenny-Standard
logmidi.sh Logfile-Rotation, stuendlich, HDD Systeme, mit wenig Platz
logmini.sh Logfile-Rotation, stuendlich, CF-Card Systeme geeignet
IPC Hilfe
http://ipc.pebkac.at/forum/viewtopic.ph ... art=20#p26
Da sollte alles selbst erklärend sein.