Seite 1 von 1

Fail2Ban mit den Beispiel-Config installieren

Verfasst: 21. Sep 2010, 20:37
von Martin
Hier ein kurze Anleitung, wie man am schnellsten Fail2Ban mit der Beispiel-Config installiert/verwendet:

Bevor Sie mit der Installation beginnen, tragen Sie bitte den Server in Ihrem Profil unter "Server" ein!

1. Installieren Sie Fail2Ban auf Ihrem Server
1.1 per

Code: Alles auswählen

apt-get install fail2ban
oder über die Sourcen wie unter folgendem Link beschrieben: http://felipeferreira.net/?p=47

2. laden Sie sich die Beispiel-Konfiguration für Debian/Linux 5 herunter:

Code: Alles auswählen

wget http://www.blocklist.de/downloads/fail2ban.config.tar.gz
tar -xzvf fail2ban.config.tar.gz
cp etc/* /etc -r
2.1 laden Sie sich die Beispiel-Konfiguration für Debian/Linux 6/7 herunter:

Code: Alles auswählen

wget http://www.blocklist.de/downloads/fail2ban.config.version-0.8.4.tar.gz
tar -xzvf fail2ban.config.version-0.8.4.tar.gz
cp etc/* /etc -r
3. Passen Sie nun die /etc/fail2ban/jail.conf an und ersetzen Sie den String "fail2ban@DEINE-DOMAIN" durch die Absender-Adresse, welche Sie bei blocklist.de zu dem Server angegeben haben. Dazu können Sie folgenden Befehl nutzten und XXXX-IHRE-ADRESSE mit der richtigen Adresse austauschen und somit ..@DEINE-DOMAIN durch ...@XXX-IHRE-ADRESSE austauschen lassen:

Code: Alles auswählen

sed -i 's/fail2ban@DEINE-DOMAIN/fail2ban@XXXXX-IHRE-ADRESSE/g' /etc/fail2ban/jail.conf
3.1 Wenn Sie von einer dynamischen IP-Adresse (Dial-UP, DSL-Anschluss) aus senden, nutzen Sie bitte als Empfänger: fail2ban@dyn.blocklist.de:

Code: Alles auswählen

sed -i 's/fail2ban@blocklist.de/fail2ban@dyn.blocklist.de/g' /etc/fail2ban/jail.conf
4. Starten Sie Fail2Ban

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 7. Mär 2011, 20:47
von Martin
Sollte Fail2Ban IPs nicht sperren und Fehlermeldung mit IPTables im /var/log/fail2ban.log auftreten, könnte die Zeit beim prüfen/setzten der Regeln der Grund sein:

viewtopic.php?f=4&t=35&p=110#p104

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 28. Okt 2015, 08:47
von DerSeppel
Hallo zusammen,

habe versucht die Beispiel-Config zu installieren.
Da befindet sich ein Fehler in der etc/fail2ban/jail.conf, Zeile 281:

Code: Alles auswählen

[shellshock-attack]
...
logpath = %{apache_access_log}s


korrekt wäre:

logpath = %(apache_access_log)s

Sollte man vielleicht bei Gelegenheit mal korrigieren.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 5. Nov 2015, 02:11
von Martin
Hallo,

vielen Dank. Ich hab es soeben in der fail2ban.config.0.9.0.tar.gz korrigiert.
Bei den anderen, war "apache_access_log" nicht enthalten.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 12. Jan 2016, 00:08
von DorrJoerg
Hallo Allerseits,

ich bin gerade dabei meine ganzen Linuxrechner mit Fail2Ban auszustatten. doch leider hänge ich bei der Konfiguration fast. Mit der Standartkonfig lief es ganz gut soweit aber ich möchte halt mehr als nur den SSH Port absichern und nebenbei noch die geblockten IP's reporten. Also hab ich mir diese 0.9.0 Konfiguration geladen und entsprechend mit der Emailadresse angepasst. Doch sobald ich F2B restarte kommt "[....] Reloading authentication failure monitor: fail2banERROR Could not find server failed!" als Fehlermeldung in der Konsole.

Muss da noch mehr angepasst werden, als die Emailadresse?

Liebe Grüße aus Sachsen ;)

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 12. Jan 2016, 04:57
von Martin
Hallo DorrJoerg,

was steht denn beim restarten in der /var/log/fail2ban.log?
Evtl. wurde ein Wert nicht in der Beispiel-Config überschrieben?

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 12. Jan 2016, 08:32
von DorrJoerg
Hallo Martin,

in der Log steht seit der neuen Config nicht aber bei "Service Fail2Ban Status" kommt ein schwung Fehlermeldungen:

root# service fail2ban status
● fail2ban.service - LSB: Start/stop fail2ban
Loaded: loaded (/etc/init.d/fail2ban)
Active: active (exited) since Tue 2016-01-12 00:15:28 CET; 8h ago
Process: 27325 ExecStop=/etc/init.d/fail2ban stop (code=exited, status=0/SUCCESS)
Process: 27334 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)

Jan 12 00:15:28 XXX fail2ban[27334]: Starting authentication failure monitor: fail2banWARNING Wrong value for 'loglevel' in 'Definit...one: '1'
Jan 12 00:15:28 XXX fail2ban[27334]: WARNING 'logpath' not defined in 'INCLUDES'. Using default one: '/var/log/messages'
Jan 12 00:15:28 XXX fail2ban[27334]: ERROR Failed during configuration: Bad value substitution:
Jan 12 00:15:28 XXX fail2ban[27334]: section: [INCLUDES]
Jan 12 00:15:28 XXX fail2ban[27334]: option : action
Jan 12 00:15:28 XXX fail2ban[27334]: key : logpath
Jan 12 00:15:28 XXX fail2ban[27334]: rawval : , chain="%(chain)s"]
Jan 12 00:15:28 XXX fail2ban[27334]: failed!

Bevor gefragt wird.bei diesem System handelt es sich um Debian Jessie und Fail2Ban 0.8.13 aus den Repos

Gruß Jörg

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 13. Jan 2016, 05:25
von Martin
Hallo Jörg,

also bei einer Jail fehlt das "logpath". Damit sollte er dann zwar /var/log/messages nehmen.
Hast du schon einmal folgende Configs verwendet:
https://blocklist.de/downloads/fail2ban ... .12.tar.gz

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 13. Jan 2016, 10:06
von DorrJoerg
Hab jetzt die 0.8.12 eingespielt und F2B startet wieder aber in der Log schmeißt er noch paar Fehler.

Code: Alles auswählen

2016-01-13 10:29:36,750 fail2ban.jail   [32300]: INFO    Creating new jail 'ssh-iptables'
2016-01-13 10:29:37,007 fail2ban.jail   [32300]: INFO    Jail 'ssh-iptables' uses pyinotify
2016-01-13 10:29:37,055 fail2ban.jail   [32300]: INFO    Initiated 'pyinotify' backend
2016-01-13 10:29:37,457 fail2ban.filter [32300]: INFO    Added logfile = /var/log/auth.log
2016-01-13 10:29:37,659 fail2ban.filter [32300]: INFO    Set maxRetry = 5
2016-01-13 10:29:44,701 fail2ban.filter [32300]: INFO    Set findtime = 600
2016-01-13 10:29:44,985 fail2ban.actions[32300]: INFO    Set banTime = 600
2016-01-13 10:29:52,057 fail2ban.jail   [32300]: INFO    Jail 'ssh-iptables' started
2016-01-13 10:30:02,238 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:150:74e2::2]: [Errno -5] No address associa$
2016-01-13 10:30:02,240 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:150:10e2::2]: [Errno -5] No address associa$
2016-01-13 10:30:02,241 fail2ban.filter [32300]: WARNING Unable to find a corresponding IP address for [2a01:4f8:160:31a1::2]: [Errno -5] No address associa$

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 19. Jan 2016, 05:42
von Martin
Hi,

das kommt von ipv6-Adressen.
Es gibt einen Patch von Fail2ban.org für ipv6-support, dann tritt diese Warnungen nach dem einspielen nicht mehr auf.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 22. Jan 2016, 13:06
von DorrJoerg
Hey Martin,

die Sache mit der IPv6 hab ich erstmal fixen können :)

Aber F2B startet noch immer nicht.

Jan 22 13:02:00 example.com fail2ban[8568]: Starting authentication failure monitor: fail2banERROR Failed during configuration: Bad value s...itution:
Jan 22 13:02:00 example.com fail2ban[8568]: section: [shellshock-attack]
Jan 22 13:02:00 example.com fail2ban[8568]: option : action
Jan 22 13:02:00 example.com fail2ban[8568]: key : banaction
Jan 22 13:02:00 example.com fail2ban[8568]: rawval : [name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
Jan 22 13:02:00 example.com fail2ban[8568]: %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
Jan 22 13:02:00 example.com fail2ban[8568]: failed!

ich hab die jail.conf schon durch geschaut und bei [shellshock-attack] keine Unstimmigkeiten im bereich der banaction gefunden.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 22. Jan 2016, 13:11
von DorrJoerg
kurz nachdem ich den obigen Post geschrieben habe. Konnte ich das Problem auch fixen. Ich habe einfach eine action definiert und schon gab der status grünes Licht :)

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 31. Okt 2016, 11:18
von hwd-admin
Hallo,
ich möchte nur die von recidive gebannten Adressen zu Euch senden, alle anderen Mail sollen nur zu mir kommen.
Wie mache ich das?
Danke & Viele Grüße
Olli

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 31. Okt 2016, 11:31
von Martin
Hi hwd-Admin,

du kannst als default-Action ganz oben in der jail.conf die Mail auf dich einstellen und bei den entsprechenden Diensten, die auch an blocklist.de gehen sollen, einfach mit:
xxxx = xxxx
action = iptables[xxxx]
sendmail-whois-lines[xxxxxx]
xxx = xxxx
eintragen.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 31. Okt 2016, 11:40
von hwd-admin
ok, Danke.
Also "destemail" unter default = meine@mail.de

Und hier dann so?

Code: Alles auswählen

[recidive]

enabled  = true
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, dest=fail2ban@blocklist.de, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5
Ich dachte ich muss folgendes nutzen:

Code: Alles auswählen

blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
Ich nutze Version 0.95.

Danke & Viele Grüße
Olli

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 1. Nov 2016, 10:21
von Martin
Hi Olli,

bei blocklist_de[xxx] werden die Daten dann per https (api) an blocklist.de übermittelt.
Das kannst du einstellen, wie es am besten für dich passt. Ob per Mail oder per curl über https.

Re: Fail2Ban mit den Beispiel-Config installieren

Verfasst: 1. Nov 2016, 10:31
von hwd-admin
Ok, Danke.
Werde beides mal probieren.