fail2ban bannt nicht nach fehlgeschl. versuchen

lima-city → Forum → Heim-PC → Betriebssysteme

Autor dieses Themas
~~l*******k~~

18:46, 19.11.2011
Hallo,

ich hab es nun an mehreren Computer mit einem falschen Passwort versucht auf meinen vServer der mit fail2ban geschützt ist versucht einzuloggen, es wirft mich alledings immer nur nach fünf falsche Versuche, ich habe aber in der jail.con bei den Konfigurationen alle auf max. 2 Versuche gesetzt und den fail2ban und ssh server neu gestartet. Warum funktioniert das ganze nicht mit den 2 Versuchen muss ich noch irgendwas anderes einstellen?

Gruß
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage
kill-a-teddy

kill-a-teddy hat kostenlosen Webspace.
20:58, 19.11.2011

lokalbook schrieb:
Hallo,

ich hab es nun an mehreren Computer mit einem falschen Passwort versucht auf meinen vServer der mit fail2ban geschützt ist versucht einzuloggen, es wirft mich alledings immer nur nach fünf falsche Versuche, ich habe aber in der jail.con bei den Konfigurationen alle auf max. 2 Versuche gesetzt und den fail2ban und ssh server neu gestartet. Warum funktioniert das ganze nicht mit den 2 Versuchen muss ich noch irgendwas anderes einstellen?

Gruß

Vielleicht hast du einen falschen Pfad oder Port oder sonstiges?

ein Beispiel für Apache
```
[apache]
enabled = true
port = http
filter = apache-auth
logpath = /var/log/apache2/users/*access.log
maxretry = 6
```
Kannst du einmal deinen Inhalt der config posten, dann könnte man das kontrollieren.?

Autor dieses Themas

~~l*******k~~

12:53, 20.11.2011

Meine jail.conf, danke.

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 2000
maxretry = 2

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = mymail

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 2

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 2

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 2

#
# HTTP servers
#

[apache]

enabled = true
port	= http,https
filter	= apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 2

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port	  = http,https
filter	  = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 2

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 2

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = true
port	 = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 2


[proftpd]

enabled  = true
port	 = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 2


[wuftpd]

enabled  = true
port	 = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 2


#
# Mail servers
#

[postfix]

enabled  = true
port	 = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port	 = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

kill-a-teddy

kill-a-teddy hat kostenlosen Webspace.

13:21, 20.11.2011
Dein Code scheint eigentlich richtig zu sein, bis auf ein Paar Sachen die mir aufgefallen sind. Dein Pfad im Apache Bereich scheint etwas merkwürdig zu sein:

logpath = /var/log/apache*/*error.log

Ist es möglich, dass es vielleicht falsch ist und

logpath = /var/log/apache/*error.log

heißen sollte?

Desweiteren wird die locale ip ignoriert, also ausgeschlossen
ignoreip = 127.0.0.1
Das heißt, wenn du auf deinem Pc / Server bist hast du beliebig viele Fehlversuche, weil es eben lokal ist. Hast du es mal mit einem anderen pc probiert vielleicht auch via ftp?

//EDIT: Habe das hier noch gefunden:

RHEL / Red Hat / CentOS / Fedora Linux Apache error file location - /var/log/httpd/error_log

Debian / Ubuntu Linux Apache error log file location - /var/log/apache2/error.log

FreeBSD Apache error log file location - /var/log/httpd-error.log

Das bestätigt meine Vermutung, dass dein Apache Pfad falsch ist, du musst den exakten Pfad angeben :)
______________________________________________________________________________________________

lokalbook schrieb:
Meine jail.conf, danke.

Nur zitiert, damit du eine Benachrichtigung bekommst.

Beitrag zuletzt geändert: 20.11.2011 13:31:40 von kill-a-teddy
Autor dieses Themas
~~l*******k~~

14:06, 20.11.2011
Hey,

ich hab es auch an anderen PC's getestet:

Das heißt, wenn du auf deinem Pc / Server bist hast du beliebig viele Fehlversuche, weil es eben lokal ist. Hast du es mal mit einem anderen pc probiert vielleicht auch via ftp?

Hab nun auch den Pfad hier angepasst: logpath = /var/log/apache2/error.log

Müsste ich an der config.php Datei auch noch was anpassen da drin steht nähmlich das selbe wie in der jail.conf.

Kannst du mal versuchen ab wann dich der Server schmeißt?
IP: 78.47.189.190
Port: 59173

Danke

Beitrag zuletzt geändert: 20.11.2011 14:07:25 von lokalbook
fleischhoernchen

fleischhoernchen hat kostenlosen Webspace.

14:15, 20.11.2011
Da dein Server bei netcup ist und diese zur Virtualisierung linux-vserver benutzen, kannst du auch keine iptables oder ähnliches für fail2ban nutzen.

"Rauschmeißen" tut dich der sshd selbst. (siehe sshd config)

Nutze key auth.

- Oleander
kill-a-teddy

kill-a-teddy hat kostenlosen Webspace.

14:20, 20.11.2011

lokalbook schrieb:
Kannst du mal versuchen ab wann dich der Server schmeißt?

Ich hab jetzt PuttY benutzt und werd nach 6 versuchen geschmissen.
Du musst alle Dateien anpassen, wo das drin steht und schau auch nochmal in der jail.local Datei nach

Beitrag zuletzt geändert: 20.11.2011 14:26:13 von kill-a-teddy
fleischhoernchen

fleischhoernchen hat kostenlosen Webspace.

14:37, 20.11.2011

kill-a-teddy schrieb:

lokalbook schrieb:
Kannst du mal versuchen ab wann dich der Server schmeißt?

Ich hab jetzt PuttY benutzt und werd nach 6 versuchen geschmissen.
Du musst alle Dateien anpassen, wo das drin steht und schau auch nochmal in der jail.local Datei nach

Ich hab doch gerade gesagt, dass fail2ban nicht nutzbar ist....
Autor dieses Themas
~~l*******k~~

15:20, 20.11.2011
Hallo,

ich hab es nun so getestet; aber welche Rechte sollen die Dateien bekommen?
http://blog.n-durch-x.de/2011/07/fail2ban-auf-netcup-vservern/

und könnte nochmals jemand testen, wann der Server rausschmeißt?

IP: 78.47.189.190
Port: 59173

kill-a-teddy, bei dir ist es noch nicht möglich, bzw. wo kann ich da deine IP wieder rauslöschen?

Gruß
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

kostenloser Webspace werbefrei: lima-city

fail2ban bannt nicht nach fehlgeschl. versuchen

lima-city → Forum → Heim-PC → Betriebssysteme

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!