Fail2Ban Errors - Normal oder Fehler in den HowTo's?

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von crazyiven, 26. Sep. 2011.

  1. crazyiven

    crazyiven New Member

    Ich habe im Fail2Ban Log folgende Einträge:

    Probleme mit REG EXP
    Code:
    fail2ban.filter : ERROR  Unable to compile regular expression '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*'
    Probleme mit IPTables
    Code:
    fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
    iptables -A fail2ban-ssh -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 200
    fail2ban.actions: WARNING [ssh] Ban 18.85.28.253
    fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
    fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
    fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
    iptables -F fail2ban-ssh
    iptables -X fail2ban-ssh returned 100
    Fehler #1 betrifft wohl die Datei dovecot-pop3imap in /etc/fail2ban/filter.d die bei mir 1:1 wie im HowTo aussieht:
    Code:
    [Definition]
    failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*
    ignoreregex =
    Was stimmt denn da nun nicht? Wird das System dadurch beeinflusst bzw. gibt es Fehler bzw. "falsche Fehlermeldungen"?

    Gruß
    crazyiven
     
  2. ufreier

    ufreier New Member

    Ausgrabung

    ich bin zwar kein Freund der Ausgrabung alter Threads, aber die Fehlermeldungen passen einfach zu gut. Ich hatte einst versucht den fail2ban zu konfigurieren, das hat auch nur Fehler geworfen. Dann kam ein ISPConfig-Update und er war wieder "out of the box" ;)
    Ich habe mich zugegebenermaßen noch nicht intensiv mit dem Teil beschäftigt, bin es aber von solchen Diensten eigentlich gewohnt, dass sie vielleicht noch nicht das machen was sie genau sollen, aber was sie machen, machen sie zumindest richtig (der Apache sagt ja auch grds. "it works!") und dann kann man sich ein paar Sachen schon mal von der life-config abschauen ...
    Aber ich bekomme von meinem fail2ban seit heute genau die Meldungen, die crazyiven hier in "Probleme mit IPTables" beschreibt, nachdem sich meiner offenbar abkrampft, eine IP zu bannen, die dem Dovecot unangenehm aufgefallen war.

    Code:
    2012-01-18 11:47:42,286 fail2ban.actions: WARNING [dovecot-pop3imap] Ban XXX.YYY.107.110
    2012-01-18 11:47:42,293 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-dovecot-pop3imap returned 100
    2012-01-18 11:47:42,293 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
    2012-01-18 11:47:42,315 fail2ban.actions.action: ERROR  iptables -N fail2ban-dovecot-pop3imap
    iptables -A fail2ban-dovecot-pop3imap -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports pop3,pop3s,imap,imaps -j fail2ban-dovecot-pop3imap returned 100
    2012-01-18 11:47:42,319 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-dovecot-pop3imap returned 100
    2012-01-18 11:47:42,319 fail2ban.actions.action: CRITICAL Unable to restore environment
    
    So geht das dann den ganzen Tag über immer wieder mal, ein "iptables -L" zeigt aber nur leere chains, da wird gar nichts geblockt. Die Idee hinter dem fail2ban finde ich grds. echt klasse, aber funktioniert er bei euch so richtig? Könnt Ihr ein Tutorial empfehlen?

    Gruß, Uwe
     
  3. nowayback

    nowayback Well-Known Member

    Ist nen bekannter Bug von fail2ban und in der aktuellen Version behoben. Leider ist diese Version nicht in den Debian Repos. Entweder Backports durchgucken oder manuell installieren oder damit leben und jedes mal selbst die Filterregeln hinzufügen ;)
     

Diese Seite empfehlen