Blocklist.de in bestehende Fail2ban Installation integrieren

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Blocklist.de in bestehende Fail2ban Installation integrieren

Beitrag von JohnDoe73 » 10. Feb 2016, 20:28

Hi liebes Forum,

ich bin auf blocklist.de gestoßen und bin begeistert und würde es gerne auf meinem Server integrieren.

Ich kenne diese Anleitung: viewtopic.php?f=11&t=3

Allerdings würde ich auf meinem Ubuntu 14.04 Server mit einer bestehenden und funktionierenden fail2ban Installation integrieren.
Wie ist hier die richtige Vorgehensweise um blocklist.de zu integrieren.

Vielen Dank und liebe Grüße
JohnDoe

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von Martin » 10. Feb 2016, 20:41

Hallo JohnDoe,

das einfachste ist bei den einzelnen Jails, welche du an uns senden möchtest, in der /etc/fail2ban/jail.conf bzw. jail.local ein Eintrag wie:
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", sender="%(sendermail)s", logpath=%(logpath)s]
bei "action" in einer neuen Zeile hinzu zu fügen ala:

Code: Alles auswählen

action = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
         %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", sender="%(sendermail)s", logpath=%(logpath)s]
als destmail muss die gleiche E-Mailadresse wie im Profil bei blocklist.de verwendet werden.
Wenn du eine andere Version verwendest, oder nicht alle Variablen gesetzt sind, kann es natürlich beim reload/restart Fehler geben und Fail2ban nicht mehr laufen.
Am besten vorher /etc/fail2ban/ sichern.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von JohnDoe73 » 10. Feb 2016, 21:00

Danke :-)

Wäre das so z.B. in der jail.local richtig? :

Code: Alles auswählen

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6
action = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol$
$der="%(sendermail)s", logpath=%(logpath)s]

JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von JohnDoe73 » 10. Feb 2016, 21:16

Ok... Funzt so nicht. Dann startet fail2ban nicht mehr.

Code: Alles auswählen

 * Restarting authentication failure monitor fail2ban                           ERROR  Failed during configuration: Bad value substitution:
	section: [ssh]
	option : action
	key    : sendermail
	rawval : ", logpath=%(logpath)s]

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von Martin » 11. Feb 2016, 06:46

Hi,

welche Version kommt denn zum Einsatz?
Kannst du mir die jail.local einmal per mail an support@ zukommen lassen, dann kann ich sie durchgehen und entsprechend anpassen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von JohnDoe73 » 11. Feb 2016, 09:02

Hallo Martin,

ich habe Dir die Datei per Mail zukommen lassen.
Vielen Dank für Deine Mühe. :-)

JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von JohnDoe73 » 13. Feb 2016, 07:46

Hi,
heute Nacht gab es laut fail2ban 2 Angriffe auf meinen Server. An meine Adresse wurde jeweils eine Benachrichtigungsmail. Kamen die bei blocklist.de nicht an?

Gruß
JohnDoe

JohnDoe73
Beiträge: 7
Registriert: 10. Feb 2016, 18:42

Re: Blocklist.de in bestehende Fail2ban Installation integri

Beitrag von JohnDoe73 » 15. Feb 2016, 20:08

Jetzt scheint es zu gehen. Anscheinend war die Absendeadresse verkehrt.

Antworten