Seite 1 von 1

Blocklist.de in bestehende Fail2ban Installation integrieren

Verfasst: 10. Feb 2016, 20:28
von JohnDoe73
Hi liebes Forum,

ich bin auf blocklist.de gestoßen und bin begeistert und würde es gerne auf meinem Server integrieren.

Ich kenne diese Anleitung: viewtopic.php?f=11&t=3

Allerdings würde ich auf meinem Ubuntu 14.04 Server mit einer bestehenden und funktionierenden fail2ban Installation integrieren.
Wie ist hier die richtige Vorgehensweise um blocklist.de zu integrieren.

Vielen Dank und liebe Grüße
JohnDoe

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 10. Feb 2016, 20:41
von Martin
Hallo JohnDoe,

das einfachste ist bei den einzelnen Jails, welche du an uns senden möchtest, in der /etc/fail2ban/jail.conf bzw. jail.local ein Eintrag wie:
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", sender="%(sendermail)s", logpath=%(logpath)s]
bei "action" in einer neuen Zeile hinzu zu fügen ala:

Code: Alles auswählen

action = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
         %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", sender="%(sendermail)s", logpath=%(logpath)s]
als destmail muss die gleiche E-Mailadresse wie im Profil bei blocklist.de verwendet werden.
Wenn du eine andere Version verwendest, oder nicht alle Variablen gesetzt sind, kann es natürlich beim reload/restart Fehler geben und Fail2ban nicht mehr laufen.
Am besten vorher /etc/fail2ban/ sichern.

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 10. Feb 2016, 21:00
von JohnDoe73
Danke :-)

Wäre das so z.B. in der jail.local richtig? :

Code: Alles auswählen

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6
action = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol$
$der="%(sendermail)s", logpath=%(logpath)s]

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 10. Feb 2016, 21:16
von JohnDoe73
Ok... Funzt so nicht. Dann startet fail2ban nicht mehr.

Code: Alles auswählen

 * Restarting authentication failure monitor fail2ban                           ERROR  Failed during configuration: Bad value substitution:
	section: [ssh]
	option : action
	key    : sendermail
	rawval : ", logpath=%(logpath)s]

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 11. Feb 2016, 06:46
von Martin
Hi,

welche Version kommt denn zum Einsatz?
Kannst du mir die jail.local einmal per mail an support@ zukommen lassen, dann kann ich sie durchgehen und entsprechend anpassen.

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 11. Feb 2016, 09:02
von JohnDoe73
Hallo Martin,

ich habe Dir die Datei per Mail zukommen lassen.
Vielen Dank für Deine Mühe. :-)

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 13. Feb 2016, 07:46
von JohnDoe73
Hi,
heute Nacht gab es laut fail2ban 2 Angriffe auf meinen Server. An meine Adresse wurde jeweils eine Benachrichtigungsmail. Kamen die bei blocklist.de nicht an?

Gruß
JohnDoe

Re: Blocklist.de in bestehende Fail2ban Installation integri

Verfasst: 15. Feb 2016, 20:08
von JohnDoe73
Jetzt scheint es zu gehen. Anscheinend war die Absendeadresse verkehrt.