Fail2Ban mit den Beispiel-Config installieren

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 21. Sep 2010, 20:37

Hier ein kurze Anleitung, wie man am schnellsten Fail2Ban mit der Beispiel-Config installiert/verwendet:

Bevor Sie mit der Installation beginnen, tragen Sie bitte den Server in Ihrem Profil unter "Server" ein!

1. Installieren Sie Fail2Ban auf Ihrem Server
1.1 per

Code: Alles auswählen

apt-get install fail2ban
oder über die Sourcen wie unter folgendem Link beschrieben: http://felipeferreira.net/?p=47

2. laden Sie sich die Beispiel-Konfiguration für Debian/Linux 5 herunter:

Code: Alles auswählen

wget http://www.blocklist.de/downloads/fail2ban.config.tar.gz
tar -xzvf fail2ban.config.tar.gz
cp etc/* /etc -r
2.1 laden Sie sich die Beispiel-Konfiguration für Debian/Linux 6/7 herunter:

Code: Alles auswählen

wget http://www.blocklist.de/downloads/fail2ban.config.version-0.8.4.tar.gz
tar -xzvf fail2ban.config.version-0.8.4.tar.gz
cp etc/* /etc -r
3. Passen Sie nun die /etc/fail2ban/jail.conf an und ersetzen Sie den String "fail2ban@DEINE-DOMAIN" durch die Absender-Adresse, welche Sie bei blocklist.de zu dem Server angegeben haben. Dazu können Sie folgenden Befehl nutzten und XXXX-IHRE-ADRESSE mit der richtigen Adresse austauschen und somit ..@DEINE-DOMAIN durch ...@XXX-IHRE-ADRESSE austauschen lassen:

Code: Alles auswählen

sed -i 's/fail2ban@DEINE-DOMAIN/fail2ban@XXXXX-IHRE-ADRESSE/g' /etc/fail2ban/jail.conf
3.1 Wenn Sie von einer dynamischen IP-Adresse (Dial-UP, DSL-Anschluss) aus senden, nutzen Sie bitte als Empfänger: fail2ban@dyn.blocklist.de:

Code: Alles auswählen

sed -i 's/fail2ban@blocklist.de/fail2ban@dyn.blocklist.de/g' /etc/fail2ban/jail.conf
4. Starten Sie Fail2Ban
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 7. Mär 2011, 20:47

Sollte Fail2Ban IPs nicht sperren und Fehlermeldung mit IPTables im /var/log/fail2ban.log auftreten, könnte die Zeit beim prüfen/setzten der Regeln der Grund sein:

viewtopic.php?f=4&t=35&p=110#p104
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

DerSeppel
Beiträge: 5
Registriert: 7. Mär 2011, 08:07

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DerSeppel » 28. Okt 2015, 08:47

Hallo zusammen,

habe versucht die Beispiel-Config zu installieren.
Da befindet sich ein Fehler in der etc/fail2ban/jail.conf, Zeile 281:

Code: Alles auswählen

[shellshock-attack]
...
logpath = %{apache_access_log}s


korrekt wäre:

logpath = %(apache_access_log)s

Sollte man vielleicht bei Gelegenheit mal korrigieren.

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 5. Nov 2015, 02:11

Hallo,

vielen Dank. Ich hab es soeben in der fail2ban.config.0.9.0.tar.gz korrigiert.
Bei den anderen, war "apache_access_log" nicht enthalten.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

DorrJoerg
Beiträge: 5
Registriert: 23. Dez 2015, 10:11

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DorrJoerg » 12. Jan 2016, 00:08

Hallo Allerseits,

ich bin gerade dabei meine ganzen Linuxrechner mit Fail2Ban auszustatten. doch leider hänge ich bei der Konfiguration fast. Mit der Standartkonfig lief es ganz gut soweit aber ich möchte halt mehr als nur den SSH Port absichern und nebenbei noch die geblockten IP's reporten. Also hab ich mir diese 0.9.0 Konfiguration geladen und entsprechend mit der Emailadresse angepasst. Doch sobald ich F2B restarte kommt "[....] Reloading authentication failure monitor: fail2banERROR Could not find server failed!" als Fehlermeldung in der Konsole.

Muss da noch mehr angepasst werden, als die Emailadresse?

Liebe Grüße aus Sachsen ;)

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 12. Jan 2016, 04:57

Hallo DorrJoerg,

was steht denn beim restarten in der /var/log/fail2ban.log?
Evtl. wurde ein Wert nicht in der Beispiel-Config überschrieben?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

DorrJoerg
Beiträge: 5
Registriert: 23. Dez 2015, 10:11

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DorrJoerg » 12. Jan 2016, 08:32

Hallo Martin,

in der Log steht seit der neuen Config nicht aber bei "Service Fail2Ban Status" kommt ein schwung Fehlermeldungen:

root# service fail2ban status
● fail2ban.service - LSB: Start/stop fail2ban
Loaded: loaded (/etc/init.d/fail2ban)
Active: active (exited) since Tue 2016-01-12 00:15:28 CET; 8h ago
Process: 27325 ExecStop=/etc/init.d/fail2ban stop (code=exited, status=0/SUCCESS)
Process: 27334 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)

Jan 12 00:15:28 XXX fail2ban[27334]: Starting authentication failure monitor: fail2banWARNING Wrong value for 'loglevel' in 'Definit...one: '1'
Jan 12 00:15:28 XXX fail2ban[27334]: WARNING 'logpath' not defined in 'INCLUDES'. Using default one: '/var/log/messages'
Jan 12 00:15:28 XXX fail2ban[27334]: ERROR Failed during configuration: Bad value substitution:
Jan 12 00:15:28 XXX fail2ban[27334]: section: [INCLUDES]
Jan 12 00:15:28 XXX fail2ban[27334]: option : action
Jan 12 00:15:28 XXX fail2ban[27334]: key : logpath
Jan 12 00:15:28 XXX fail2ban[27334]: rawval : , chain="%(chain)s"]
Jan 12 00:15:28 XXX fail2ban[27334]: failed!

Bevor gefragt wird.bei diesem System handelt es sich um Debian Jessie und Fail2Ban 0.8.13 aus den Repos

Gruß Jörg

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 13. Jan 2016, 05:25

Hallo Jörg,

also bei einer Jail fehlt das "logpath". Damit sollte er dann zwar /var/log/messages nehmen.
Hast du schon einmal folgende Configs verwendet:
https://blocklist.de/downloads/fail2ban ... .12.tar.gz
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

DorrJoerg
Beiträge: 5
Registriert: 23. Dez 2015, 10:11

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DorrJoerg » 13. Jan 2016, 10:06

Hab jetzt die 0.8.12 eingespielt und F2B startet wieder aber in der Log schmeißt er noch paar Fehler.

Code: Alles auswählen

2016-01-13 10:29:36,750 fail2ban.jail   [32300]: INFO    Creating new jail 'ssh-iptables'
2016-01-13 10:29:37,007 fail2ban.jail   [32300]: INFO    Jail 'ssh-iptables' uses pyinotify
2016-01-13 10:29:37,055 fail2ban.jail   [32300]: INFO    Initiated 'pyinotify' backend
2016-01-13 10:29:37,457 fail2ban.filter [32300]: INFO    Added logfile = /var/log/auth.log
2016-01-13 10:29:37,659 fail2ban.filter [32300]: INFO    Set maxRetry = 5
2016-01-13 10:29:44,701 fail2ban.filter [32300]: INFO    Set findtime = 600
2016-01-13 10:29:44,985 fail2ban.actions[32300]: INFO    Set banTime = 600
2016-01-13 10:29:52,057 fail2ban.jail   [32300]: INFO    Jail 'ssh-iptables' started
2016-01-13 10:30:02,238 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:150:74e2::2]: [Errno -5] No address associa$
2016-01-13 10:30:02,240 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:150:10e2::2]: [Errno -5] No address associa$
2016-01-13 10:30:02,241 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:160:31a1::2]: [Errno -5] No address associa$

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 19. Jan 2016, 05:42

Hi,

das kommt von ipv6-Adressen.
Es gibt einen Patch von Fail2ban.org für ipv6-support, dann tritt diese Warnungen nach dem einspielen nicht mehr auf.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

DorrJoerg
Beiträge: 5
Registriert: 23. Dez 2015, 10:11

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DorrJoerg » 22. Jan 2016, 13:06

Hey Martin,

die Sache mit der IPv6 hab ich erstmal fixen können :)

Aber F2B startet noch immer nicht.

Jan 22 13:02:00 example.com fail2ban[8568]: Starting authentication failure monitor: fail2banERROR Failed during configuration: Bad value s...itution:
Jan 22 13:02:00 example.com fail2ban[8568]: section: [shellshock-attack]
Jan 22 13:02:00 example.com fail2ban[8568]: option : action
Jan 22 13:02:00 example.com fail2ban[8568]: key : banaction
Jan 22 13:02:00 example.com fail2ban[8568]: rawval : [name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
Jan 22 13:02:00 example.com fail2ban[8568]: %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
Jan 22 13:02:00 example.com fail2ban[8568]: failed!

ich hab die jail.conf schon durch geschaut und bei [shellshock-attack] keine Unstimmigkeiten im bereich der banaction gefunden.

DorrJoerg
Beiträge: 5
Registriert: 23. Dez 2015, 10:11

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von DorrJoerg » 22. Jan 2016, 13:11

kurz nachdem ich den obigen Post geschrieben habe. Konnte ich das Problem auch fixen. Ich habe einfach eine action definiert und schon gab der status grünes Licht :)

hwd-admin
Beiträge: 5
Registriert: 31. Okt 2016, 09:58
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von hwd-admin » 31. Okt 2016, 11:18

Hallo,
ich möchte nur die von recidive gebannten Adressen zu Euch senden, alle anderen Mail sollen nur zu mir kommen.
Wie mache ich das?
Danke & Viele Grüße
Olli
Besten Dank & Viele Grüße
Olli

Fail2Ban 0.95
Ubuntu 14.04

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 31. Okt 2016, 11:31

Hi hwd-Admin,

du kannst als default-Action ganz oben in der jail.conf die Mail auf dich einstellen und bei den entsprechenden Diensten, die auch an blocklist.de gehen sollen, einfach mit:
xxxx = xxxx
action = iptables[xxxx]
sendmail-whois-lines[xxxxxx]
xxx = xxxx
eintragen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

hwd-admin
Beiträge: 5
Registriert: 31. Okt 2016, 09:58
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von hwd-admin » 31. Okt 2016, 11:40

ok, Danke.
Also "destemail" unter default = meine@mail.de

Und hier dann so?

Code: Alles auswählen

[recidive]

enabled  = true
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, dest=fail2ban@blocklist.de, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5
Ich dachte ich muss folgendes nutzen:

Code: Alles auswählen

blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
Ich nutze Version 0.95.

Danke & Viele Grüße
Olli
Besten Dank & Viele Grüße
Olli

Fail2Ban 0.95
Ubuntu 14.04

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von Martin » 1. Nov 2016, 10:21

Hi Olli,

bei blocklist_de[xxx] werden die Daten dann per https (api) an blocklist.de übermittelt.
Das kannst du einstellen, wie es am besten für dich passt. Ob per Mail oder per curl über https.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

hwd-admin
Beiträge: 5
Registriert: 31. Okt 2016, 09:58
Kontaktdaten:

Re: Fail2Ban mit den Beispiel-Config installieren

Beitrag von hwd-admin » 1. Nov 2016, 10:31

Ok, Danke.
Werde beides mal probieren.
Besten Dank & Viele Grüße
Olli

Fail2Ban 0.95
Ubuntu 14.04

Antworten