Fail2Ban / Blocklist / Plesk Onyx

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
SebMz82
Beiträge: 1
Registriert: 10. Nov 2016, 19:33

Fail2Ban / Blocklist / Plesk Onyx

Beitrag von SebMz82 » 10. Nov 2016, 19:55

Hallo zusammen,

auch ich würde gerne Blocklist unterstützen und war froh, dass auf dem neuen Server bei Server4You auch das Plesk Onyx mit Fail2Ban installiert war - Plesk bringt das von Hause aus mit.

Also Fail2Ban aktiviert, Jail SSH mit folgenden Einstellungen aktiviert:

Code: Alles auswählen

iptables[name=SSH, port=ssh, protocol=tcp]
iptables-allports[chain="INPUT", name="default", port="ssh", protocol="tcp", blocktype="REJECT --reject-with icmp-port-unreachable"]
sendmail[dest="fail2ban@blocklist.de", sender="fail2ban@xxxx", sendername="Fail2Ban", name="SSH"]
sendmail-common[dest="xxxx@xxxx", sender="fail2ban@xxxx", sendername="Fail2Ban"]
Und man siehe und staune, die Liste der gesperrten IPs füllte sich. Jedoch habe ich hier bei Blocklist keine Einträge bei meinem Server.

Habe die E-Mailadresse von sendmail dest= mal auf meine Adresse geändert und siehe da, ich erhalte alle E-Mails über die Sperrungen:
Hi,

The IP 163.172.78.30 has just been banned by Fail2Ban after
5 attempts against SSH.

Regards,

Fail2Ban
Nur um auf Nummer sicher zu gehen, habe ich die ServerIP und die Absenderadresse aus der Mail heraus kopiert hier in die Serverdaten...

Nun ergeben sich daraus 2 Fragen:

1. Warum wird es hier nicht angezeigt?
2. Gibt es eine Möglichkeit / Anleitung, wie man das über die API melden kann? Mit der Anleitung, die hier existiert geht's schon mal nicht, weil er die Aktion blocklist_de nicht kennt.

Es geht hierbei um den Server mit der Blocklist.de ID 4544 (wusste nicht, dass ich mit den anderen Logindaten auch hier ins Forum komme! ;-))

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban / Blocklist / Plesk Onyx

Beitrag von Martin » 11. Nov 2016, 10:58

Hi SebMz82,

die Aktion "blocklist_de" kannst du einfach manuell "nach installieren", in dem Du in /etc/fail2ban/action.d/ die folgende Datei rein kopierst:
https://github.com/fail2ban/fail2ban/bl ... st_de.conf
dann steht die Aktion zur Verfügung.

Bei der Mail, fehlen leider noch die Logfiles.
Der Grund ist, weil in den Einstellungen nur "sendmail" wohl verwendet wird anstatt "sendmail-whois-lines".
Dann sollte es nach einem reload/restart auch dann bei blocklist.de angezeigt werden. Die Reports ohne Logs, werden nicht verarbeitet.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten