Seite 1 von 1

Fail2Ban / Blocklist / Plesk Onyx

Verfasst: 10. Nov 2016, 19:55
von SebMz82
Hallo zusammen,

auch ich würde gerne Blocklist unterstützen und war froh, dass auf dem neuen Server bei Server4You auch das Plesk Onyx mit Fail2Ban installiert war - Plesk bringt das von Hause aus mit.

Also Fail2Ban aktiviert, Jail SSH mit folgenden Einstellungen aktiviert:

Code: Alles auswählen

iptables[name=SSH, port=ssh, protocol=tcp]
iptables-allports[chain="INPUT", name="default", port="ssh", protocol="tcp", blocktype="REJECT --reject-with icmp-port-unreachable"]
sendmail[dest="fail2ban@blocklist.de", sender="fail2ban@xxxx", sendername="Fail2Ban", name="SSH"]
sendmail-common[dest="xxxx@xxxx", sender="fail2ban@xxxx", sendername="Fail2Ban"]
Und man siehe und staune, die Liste der gesperrten IPs füllte sich. Jedoch habe ich hier bei Blocklist keine Einträge bei meinem Server.

Habe die E-Mailadresse von sendmail dest= mal auf meine Adresse geändert und siehe da, ich erhalte alle E-Mails über die Sperrungen:
Hi,

The IP 163.172.78.30 has just been banned by Fail2Ban after
5 attempts against SSH.

Regards,

Fail2Ban
Nur um auf Nummer sicher zu gehen, habe ich die ServerIP und die Absenderadresse aus der Mail heraus kopiert hier in die Serverdaten...

Nun ergeben sich daraus 2 Fragen:

1. Warum wird es hier nicht angezeigt?
2. Gibt es eine Möglichkeit / Anleitung, wie man das über die API melden kann? Mit der Anleitung, die hier existiert geht's schon mal nicht, weil er die Aktion blocklist_de nicht kennt.

Es geht hierbei um den Server mit der Blocklist.de ID 4544 (wusste nicht, dass ich mit den anderen Logindaten auch hier ins Forum komme! ;-))

Re: Fail2Ban / Blocklist / Plesk Onyx

Verfasst: 11. Nov 2016, 10:58
von Martin
Hi SebMz82,

die Aktion "blocklist_de" kannst du einfach manuell "nach installieren", in dem Du in /etc/fail2ban/action.d/ die folgende Datei rein kopierst:
https://github.com/fail2ban/fail2ban/bl ... st_de.conf
dann steht die Aktion zur Verfügung.

Bei der Mail, fehlen leider noch die Logfiles.
Der Grund ist, weil in den Einstellungen nur "sendmail" wohl verwendet wird anstatt "sendmail-whois-lines".
Dann sollte es nach einem reload/restart auch dann bei blocklist.de angezeigt werden. Die Reports ohne Logs, werden nicht verarbeitet.