Fail2ban auf Debian Etch server

Dieses Thema im Forum "Fragen zu Howtos" wurde erstellt von Sia386, 25. Okt. 2008.

  1. Sia386

    Sia386 New Member

    hi, zuerst danke fuer diese http://www.howtoforge.de/howto/verhindern-von-brute-force-attacks-mit-fail2ban-auf-debian-etch/
    nach dem installation und restart des fail2ban hab angeschauet ob irgendwelche geblockt hat, erscheint nichts :)
    Code:
     # tail -f /var/log/fail2ban.log
    2008-10-25 15:41:28,179 fail2ban.filter : INFO   Set ignoreregex = 
    2008-10-25 15:41:28,187 fail2ban.actions.action: INFO   Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
    2008-10-25 15:41:28,191 fail2ban.actions.action: INFO   Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
    iptables -F fail2ban-<name>
    iptables -X fail2ban-<name>
    2008-10-25 15:41:28,195 fail2ban.actions.action: INFO   Set actionStart = iptables -N fail2ban-<name>
    iptables -A fail2ban-<name> -j RETURN
    iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
    2008-10-25 15:41:28,199 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
    2008-10-25 15:41:28,203 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
    
    ist irgendwelche da, oder ist normal wenn keine attacker gibt?
     
  2. Till

    Till Administrator

    Ob jemand Deinen Server attackiert kannst Du im auth.log sehen, wenn dort hunderte fehlgeschlagene Logins nacheinader gelistet sind.
     
  3. Sia386

    Sia386 New Member

    danke, das weiss ich aber, diese tutorial sagt file muss jail.local heissen und nach dem restart des fail2ban muss funktionieren. aber das stimmt nicht, muss inhalte von jail.local in orginal fail2ban.conf kopieren. oder bin blind und hab nicht gesehen :D
    attackiere kann man in /var/log/apache2/error.log am besten sehen (in debian server)
     
  4. Till

    Till Administrator

    Für Zugriffe auf den Webserver ist das richtig, aber im Allgemeinen stimmt das so nicht ganz, da der sshd und ftpd z.B. niemals in das apache log schreiben nur ins auth.log.
     
  5. hunter999

    hunter999 New Member

    Habe auch eine Frage hierzu und vielleicht hat einer von euch einen Tipp für mich.
    Ich würde gern fail2ban dazu bringen auch die einzelnen Webs mit zu "Checken".
    Wie macht ihr das? Bzw. wie könnte ich das machen?
    Meine erster Einfall hierzu war eigentlich für jedes einzelne Web eine eigene Jail anzulegen.
    Ist aber auf die Dauer mühsam, oder sehe ich das falsch?
     
  6. timersen2004

    timersen2004 New Member

    Wie checken? Du weißt schon das fail2ban die Attacken auf einzelne Daemons logt und blockt? Versteht nicht ganz wie das gemeint ist... :confused:
     
  7. hunter999

    hunter999 New Member

    Das ist mir schon klar. ABER:

    Die Apache Logfiles des einzelnen Webs also error.log und access.log laufen ja nicht in das "Allgemeine Logfile" des Apachen sondern werden in das Logfile unter \var\www\webx\log\ geschrieben. Das sieht fail2ban aber gar nicht weil das Standard Jail von fail2ban auf \var\log\apache2\error.log z.b. schaut.
    Jetzt müsste man quasi für jedes einzelne web ein eigenes Jail für fail2ban einrichten. Dies wollte ich "vereinfachen".
     
  8. timersen2004

    timersen2004 New Member

    Jetzt raff ich's. Ich schätze mal Code-Änderungen oder für jedes einzelne Web eine eigene Jail anlegen.
     
  9. hunter999

    hunter999 New Member

    Schön das der Groschen gefallen ist ;).
    Code Ändern wollte ich eigentlich nicht. Da ich hier zu sehr bei den Updates aufpassen müsste. Mir wird wohl nichts anderes übrig bleiben als die einzelnen Jails anzulegen. Vielleicht hat Till ja noch ne Idee ;)?
     
  10. timersen2004

    timersen2004 New Member

    Vielleicht hat Till oder jemand anderes auch noch eine Lösung ;)

    Bis dato wird ich aber das machen was du gerade gesagt hast, alles einzelnt anlegen auch wenn es mühsam ist.

    Gruß,
    Timo
     
  11. make-fun

    make-fun New Member

    Meine Lösung dazu…
    Code:
    In der jail.local:
    [apache]
    enabled = true
    port    = http,https
    filter  = apache-auth
    logpath = /var/www/web*/log/*error.log
    maxretry = 6
    
    Da dann aber "/var/log/apache2/error.log" raus fällt, habe ich ein "Hilfsdir" angelegt
    Code:
    /var/www/webApacheLog/log/
    und darin ein SymLink mit der Bezeichnung "error.log" auf "/var/log/apache2/error.log" erstellt.
    Die Regel "/var/www/web*/log/*error.log" gilt für alle neuen/zukünftigen Webs und in "webApacheLog" habe ich die statischen Logfiles eingebunden also z.B. auch noch ein SymLink "ispconfig_error.log" auf "/ispconfig/httpd/logs/error_log" — das muss man ja alles nur einmal machen…

    Hier noch ein paar gute Freunde:
    Code:
    fail2ban-client -d
    /etc/init.d/fail2ban restart
    cat /var/log/fail2ban.log|egrep ' Ban| Unban'
    Hoffe das hilft etwas weiter

    Gruß
     
  12. MayMak

    MayMak New Member

    Hi
    Dies ist ein alte Howto aber ich habe den instaliert und denke das es auch Funktioniert.
    nun wollte ich fragen ob dies Howto fail2ban immer noch für heutigen datum aktuel ist. wie sehe ich das es überhaupt funktioniert.

    Hier gibts ein andere howto der aber für lenny ist.
    http://www.mindfactory.de/forum/ser...-debian-lenny-installieren-konfigurieren.html

    Bei dem gibts bischen mehr zu machen als den hier geschriebene Howto.


    LG
     
    Zuletzt bearbeitet: 3. Juni 2009
  13. MayMak

    MayMak New Member

    Na toll jetzt Funktioniert mein Mail Server nicht :mad:
    Ich habe ein restart der mail server durchgeführt bringt leider nichst.

    Was könnte den sein.

    LG
     

Diese Seite empfehlen