Fail2ban auf Debian Etch server

[Sia386]

hi, zuerst danke fuer diese http://www.howtoforge.de/howto/verhi...f-debian-etch/
nach dem installation und restart des fail2ban hab angeschauet ob irgendwelche geblockt hat, erscheint nichts

Code:

 # tail -f /var/log/fail2ban.log
2008-10-25 15:41:28,179 fail2ban.filter : INFO   Set ignoreregex = 
2008-10-25 15:41:28,187 fail2ban.actions.action: INFO   Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2008-10-25 15:41:28,191 fail2ban.actions.action: INFO   Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2008-10-25 15:41:28,195 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2008-10-25 15:41:28,199 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2008-10-25 15:41:28,203 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>

ist irgendwelche da, oder ist normal wenn keine attacker gibt?

[Till]

Ob jemand Deinen Server attackiert kannst Du im auth.log sehen, wenn dort hunderte fehlgeschlagene Logins nacheinader gelistet sind.

[Sia386]

danke, das weiss ich aber, diese tutorial sagt file muss jail.local heissen und nach dem restart des fail2ban muss funktionieren. aber das stimmt nicht, muss inhalte von jail.local in orginal fail2ban.conf kopieren. oder bin blind und hab nicht gesehen
attackiere kann man in /var/log/apache2/error.log am besten sehen (in debian server)

[Till]

Zitat:

attackiere kann man in /var/log/apache2/error.log am besten sehen (in debian server)

Für Zugriffe auf den Webserver ist das richtig, aber im Allgemeinen stimmt das so nicht ganz, da der sshd und ftpd z.B. niemals in das apache log schreiben nur ins auth.log.

[hunter999]

Habe auch eine Frage hierzu und vielleicht hat einer von euch einen Tipp für mich.
Ich würde gern fail2ban dazu bringen auch die einzelnen Webs mit zu "Checken".
Wie macht ihr das? Bzw. wie könnte ich das machen?
Meine erster Einfall hierzu war eigentlich für jedes einzelne Web eine eigene Jail anzulegen.
Ist aber auf die Dauer mühsam, oder sehe ich das falsch?

[timersen2004]

Zitat:

Zitat von hunter999

Habe auch eine Frage hierzu und vielleicht hat einer von euch einen Tipp für mich.
Ich würde gern fail2ban dazu bringen auch die einzelnen Webs mit zu "Checken".
Wie macht ihr das? Bzw. wie könnte ich das machen?
Meine erster Einfall hierzu war eigentlich für jedes einzelne Web eine eigene Jail anzulegen.
Ist aber auf die Dauer mühsam, oder sehe ich das falsch?

Wie checken? Du weißt schon das fail2ban die Attacken auf einzelne Daemons logt und blockt? Versteht nicht ganz wie das gemeint ist...

[hunter999]

Das ist mir schon klar. ABER:

Die Apache Logfiles des einzelnen Webs also error.log und access.log laufen ja nicht in das "Allgemeine Logfile" des Apachen sondern werden in das Logfile unter \var\www\webx\log\ geschrieben. Das sieht fail2ban aber gar nicht weil das Standard Jail von fail2ban auf \var\log\apache2\error.log z.b. schaut.
Jetzt müsste man quasi für jedes einzelne web ein eigenes Jail für fail2ban einrichten. Dies wollte ich "vereinfachen".

[timersen2004]

Jetzt raff ich's. Ich schätze mal Code-Änderungen oder für jedes einzelne Web eine eigene Jail anlegen.

[hunter999]

Schön das der Groschen gefallen ist .
Code Ändern wollte ich eigentlich nicht. Da ich hier zu sehr bei den Updates aufpassen müsste. Mir wird wohl nichts anderes übrig bleiben als die einzelnen Jails anzulegen. Vielleicht hat Till ja noch ne Idee ?

[timersen2004]

Vielleicht hat Till oder jemand anderes auch noch eine Lösung

Bis dato wird ich aber das machen was du gerade gesagt hast, alles einzelnt anlegen auch wenn es mühsam ist.

Gruß,
Timo