Fail2ban auf Debian Etch server

#1
hi, zuerst danke fuer diese http://www.howtoforge.de/howto/verhindern-von-brute-force-attacks-mit-fail2ban-auf-debian-etch/
nach dem installation und restart des fail2ban hab angeschauet ob irgendwelche geblockt hat, erscheint nichts :)
Code:
 # tail -f /var/log/fail2ban.log
2008-10-25 15:41:28,179 fail2ban.filter : INFO   Set ignoreregex = 
2008-10-25 15:41:28,187 fail2ban.actions.action: INFO   Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2008-10-25 15:41:28,191 fail2ban.actions.action: INFO   Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2008-10-25 15:41:28,195 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2008-10-25 15:41:28,199 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2008-10-25 15:41:28,203 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
ist irgendwelche da, oder ist normal wenn keine attacker gibt?
 

Till

Administrator
#2
Ob jemand Deinen Server attackiert kannst Du im auth.log sehen, wenn dort hunderte fehlgeschlagene Logins nacheinader gelistet sind.
 
#3
danke, das weiss ich aber, diese tutorial sagt file muss jail.local heissen und nach dem restart des fail2ban muss funktionieren. aber das stimmt nicht, muss inhalte von jail.local in orginal fail2ban.conf kopieren. oder bin blind und hab nicht gesehen :D
attackiere kann man in /var/log/apache2/error.log am besten sehen (in debian server)
 
#5
Habe auch eine Frage hierzu und vielleicht hat einer von euch einen Tipp für mich.
Ich würde gern fail2ban dazu bringen auch die einzelnen Webs mit zu "Checken".
Wie macht ihr das? Bzw. wie könnte ich das machen?
Meine erster Einfall hierzu war eigentlich für jedes einzelne Web eine eigene Jail anzulegen.
Ist aber auf die Dauer mühsam, oder sehe ich das falsch?
 
#6
Habe auch eine Frage hierzu und vielleicht hat einer von euch einen Tipp für mich.
Ich würde gern fail2ban dazu bringen auch die einzelnen Webs mit zu "Checken".
Wie macht ihr das? Bzw. wie könnte ich das machen?
Meine erster Einfall hierzu war eigentlich für jedes einzelne Web eine eigene Jail anzulegen.
Ist aber auf die Dauer mühsam, oder sehe ich das falsch?
Wie checken? Du weißt schon das fail2ban die Attacken auf einzelne Daemons logt und blockt? Versteht nicht ganz wie das gemeint ist... :confused:
 
#7
Das ist mir schon klar. ABER:

Die Apache Logfiles des einzelnen Webs also error.log und access.log laufen ja nicht in das "Allgemeine Logfile" des Apachen sondern werden in das Logfile unter \var\www\webx\log\ geschrieben. Das sieht fail2ban aber gar nicht weil das Standard Jail von fail2ban auf \var\log\apache2\error.log z.b. schaut.
Jetzt müsste man quasi für jedes einzelne web ein eigenes Jail für fail2ban einrichten. Dies wollte ich "vereinfachen".
 
#9
Schön das der Groschen gefallen ist ;).
Code Ändern wollte ich eigentlich nicht. Da ich hier zu sehr bei den Updates aufpassen müsste. Mir wird wohl nichts anderes übrig bleiben als die einzelnen Jails anzulegen. Vielleicht hat Till ja noch ne Idee ;)?
 
#10
Vielleicht hat Till oder jemand anderes auch noch eine Lösung ;)

Bis dato wird ich aber das machen was du gerade gesagt hast, alles einzelnt anlegen auch wenn es mühsam ist.

Gruß,
Timo
 
#11
Meine Lösung dazu…
Code:
In der jail.local:
[apache]
enabled = true
port    = http,https
filter  = apache-auth
logpath = /var/www/web*/log/*error.log
maxretry = 6
Da dann aber "/var/log/apache2/error.log" raus fällt, habe ich ein "Hilfsdir" angelegt
Code:
/var/www/webApacheLog/log/
und darin ein SymLink mit der Bezeichnung "error.log" auf "/var/log/apache2/error.log" erstellt.
Die Regel "/var/www/web*/log/*error.log" gilt für alle neuen/zukünftigen Webs und in "webApacheLog" habe ich die statischen Logfiles eingebunden also z.B. auch noch ein SymLink "ispconfig_error.log" auf "/ispconfig/httpd/logs/error_log" — das muss man ja alles nur einmal machen…

Hier noch ein paar gute Freunde:
Code:
fail2ban-client -d
/etc/init.d/fail2ban restart
cat /var/log/fail2ban.log|egrep ' Ban| Unban'
Hoffe das hilft etwas weiter

Gruß
 
#12
Hi
Dies ist ein alte Howto aber ich habe den instaliert und denke das es auch Funktioniert.
nun wollte ich fragen ob dies Howto fail2ban immer noch für heutigen datum aktuel ist. wie sehe ich das es überhaupt funktioniert.

Hier gibts ein andere howto der aber für lenny ist.
http://www.mindfactory.de/forum/ser...-debian-lenny-installieren-konfigurieren.html

Bei dem gibts bischen mehr zu machen als den hier geschriebene Howto.


LG
 
Zuletzt bearbeitet:
#13
Na toll jetzt Funktioniert mein Mail Server nicht :mad:
Ich habe ein restart der mail server durchgeführt bringt leider nichst.

Was könnte den sein.

LG
 

Werbung

Top