fail2ban loggt nur im DEBUG Modus

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 25. Nov 2014, 15:32

Schönen Guten Tag,

erstmal ein Lob, ich finde es toll das es so einen Dienst gibt.

Habe mich hier angemeldet mit Server usw.

Habe Fail2Ban installiert und die jail.conf entsprechend angepasst:

Code: Alles auswählen

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision$
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
findtime = 600
bantime  = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = auto

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = fail2ban@blocklist.de
sendermail = fail2ban@zensiert.tld 8-) 

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

[dropbear]

enabled  = false
port     = ssh
filter   = sshd
logpath  = /var/log/dropbear
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled  = true
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 3

#
# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/auth.log
maxretry = 3


[pure-ftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/auth.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log

[qmail]

enabled  = true
port     = smtp,ssmtp
filter   = qmail
logpath  = /usr/local/psa/var/log/maillog

[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /usr/local/psa/var/log/maillog


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log

# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log
Sollte passen, es werden beim reload auch keine Fehler ausgegeben.

Habe das logfile per

Code: Alles auswählen

tail -f /var/log/fail2ban.log
anzeigen lassen und ein paar logins von einer anderen IP gemacht, welche falsch waren.

Es wurde nichts angezeigt.

Dann habe ich auf DEBUG Modus umgestellt, wieder probiert und alle provozierten Fehler wurden erkannt.

Dann habe ich mal den regex Tester von Fail2Ban probiert:

Code: Alles auswählen

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/HIER-HABE-ICH-DIE-AKTIVIERTEN-GETESTET.conf
Wurde bis auf qmail überall ein falscher Login oder ähnliches erkannt.

in der /var/log/auth.log ist alles korrekt geloggt sowie in der /usr/local/psa/var/log/maillog(PLESK)

Beim Versuch den loglevel umzustellen ist mir dann alles abgehauen und ich musste fail2ban wieder komplett
deinstallieren und danach wieder installieren.

(fail2ban wurde im daemonmodus ausgeführt, so die Meldung. Bei Start und Stop wurden die jails gestartet und dann gleich wieder gestoppt).

Jetzt läuft es, nur die Fehler werden nicht geloggt, hat jemand eine Idee?

Vielen Dank,

mallmis

Fail2ban v0.8.6
BS Ubuntu 12.04.5 LTS
Panel-Version 11.0.9
Zuletzt geändert von mallmis am 25. Nov 2014, 17:31, insgesamt 2-mal geändert.

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von Martin » 25. Nov 2014, 17:01

Hi,
also von so einem Problem hab ich noch nicht gehört.
Wenn du das Loglevel in der /etc/fail2ban/fail2ban.conf auf 4 stellst, schmiert der Server ab?
Wenn es ein Vserver ist, kann darin manchmal auch das Problem liegen, das diese nicht alle Kernel-Module geladen haben und dadurch z.B. Iptables nicht geht.
Kannst du uns das fail2ban.log einmal per pn/mail zukommen lassen?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 25. Nov 2014, 17:05

Hallo Martin,

vielen Dank für die schnelle Antwort. Nein der Server ist nicht abgeschmiert, nur fail2ban.

Nicht auf vier ist fail2ban abgestürzt sondern auf eins. Problem ist das im DEBUG Modus ins fail2ban Log geschrieben wird und bei allen anderen Modi nicht.

Log ist Unterwegs,

vielen Dank,

Mallmis

EDIT: LOG gesendet :D

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 25. Nov 2014, 17:27

Hallo,

Iptables funktioniert eigentlich hier mal die Ausgabe von iptables -L:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-courierauth  tcp  --  anywhere             anywhere             multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
fail2ban-qmail  tcp  --  anywhere             anywhere             multiport dports smtp,ssmtp
fail2ban-proftpd  tcp  --  anywhere             anywhere             multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:GEHEIMER SSH PORT!!!!
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:12443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:11443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:11444
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8447
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8880
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssmtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:poppassd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:mysql
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgresql
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9008
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9080
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere             icmptype 8 code 0
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain fail2ban-courierauth (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-proftpd (1 references)
target     prot opt source               destination
DROP       all  --  wsip-68-14-201-136.no.no.cox.net  anywhere
RETURN     all  --  anywhere             anywhere

Chain fail2ban-qmail (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Übrigens der SSH Port ist geändert und Port 22 gesperrt.

Gruß,

mallmis

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 26. Nov 2014, 09:58

Hallo,

habe jetzt festgestellt das proftpd funktioniert. Habe bei Port SSH meinen geänderten Port eingetragen, hat leider nichts gebracht.

Bin etwas ratlos :?:

Gruß,

mallmis

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 26. Nov 2014, 10:51

Hallo,

jetzt funzt es wunderbar, hat nur ein paar Neustarts gebraucht. Habe erst gedacht, Mail funktioniert nicht, habe aber nun probeweise meine email adresse eingetragen. Jetzt habe ich wieder auf Eure E-Mail umgestellt. Bekomme ich dann eine Kopie der Mail von Euch weitergeleitet, oder wie funktioniert das?

Vielen Dank,

mallmis

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 26. Nov 2014, 14:04

Hallo,

habe jetzt im Logfile gesehen das Mails zu Euch raus gehen. Kommen diese auch zu mir oder was muss ich da machen?

Gruß,

mallmis

mallmis
Beiträge: 7
Registriert: 24. Nov 2014, 15:15

Re: fail2ban loggt nur im DEBUG Modus

Beitrag von mallmis » 26. Nov 2014, 14:20

:mrgreen: Hallo, habe meine Email Adresse jetzt auch eingetragen, jetzt kommen die Mails auch zu mir

Code: Alles auswählen

destemail = fail2ban@blocklist.de fail2ban@MEINE-DOMAIN
Jetzt ist nur noch eine Frage übrig, wann sehe ich in meinem Login erste Ergebnisse?

Gruß,

mallmis

Antworten