fail2ban + Ubuntu 6.06 LTS

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von hahni, 4. Feb. 2008.

  1. hahni

    hahni Active Member

    Hallo zusammen,

    ich habe wie im Tutorial "http://www.howtoforge.com/fail2ban_debian_etch" beschrieben fail2ban auf meinem Webserver installiert und konfiguriert.

    Es treten keine Fehler auf! Allerdings habe ich beispielsweise bei SSH nicht den Standard-Port aktiv! Bei meinen Versuchen wurde ich auch nicht nach dem 5. Fehlversuch gebannt!

    Kann etwas mit dem Tutorial nicht stimmen oder muss man den abweichenden Port angeben?

    Nächtliche Grüße

    Hahni
     
  2. Till

    Till Administrator

    Fail2ban liest die Log-Dateien, der Port sollte also keine Rolle spielen. Sie mal in der fail2ban Konfiguration nach, ob die Pfade zu den Log-dateien korrekt ist und ob Dein SSH Daemon die fehlgeschlagenen Logins dort rein schreibt.
     
  3. hahni

    hahni Active Member

    Beides stimmt: also die Pfade und es wird auch in die auth.log geloggt! Auf diese Dinge hatte ich nämlich gestern auch schon ein Augenmerk gelegt! Könnte man auch alternativ die /var/log/messages angeben? Oder stimmt das Schlüsselwort "filter" nicht bzw. arbeitet nicht zuverlässig?
     
  4. Till

    Till Administrator

    Generell kannst Du mit fail2ban jedes Log überprüfen, es müssen nur ggf. die regulären Ausdrücke angepasst werden.
     
  5. hahni

    hahni Active Member

    Aber genau die sind ja in Falkos Debian-Config-File garnicht enthalten (meine den Link in meinem ersten Thread!)...
     
  6. Till

    Till Administrator

    Es gibt diverse Standard Filter, und diese werden in Falkos howto verwendet. deshalb sind dort keine gesonderten regulären Ausdrücke notwendig.
     
  7. hahni

    hahni Active Member

    Folgende Fehler/Warnings bekomme ich, wenn ich in das fail2ban.log sehe:

    ---
    2008-02-03 22:48:54,731 WARNING: Verbose level is 1
    2008-02-03 22:48:54,732 INFO: Fail2Ban v0.6.0 is running
    2008-02-03 22:48:54,733 INFO: Enabled sections: ['Apache', 'SSH']
    2008-02-03 22:48:54,733 WARNING: is not a valid IP address
    2008-02-04 20:22:11,654 WARNING: Restoring firewall rules...
    2008-02-04 20:22:11,791 INFO: Exiting...
    2008-02-04 20:22:14,578 ERROR: Fail2Ban got an unhandled exception and died.
    2008-02-04 20:22:14,578 ERROR: Type: 'NoSectionError'
    Value: ("No section: 'MAIL'",)
    TB: [('/usr/bin/fail2ban', 47, '?', 'fail2ban.main()'), ('/usr/share/fail2ban/fail2ban.py', 406, 'main', 'mailConf = confReader.getLogOptions("MAIL", optionValues)'), ('/usr/share/fail2ban/confreader/configreader.py', 76, 'getLogOptions', 'v = self.configParser.getboolean(sec, option[1])'), ('/usr/lib/python2.4/ConfigParser.py', 330, 'getboolean', 'v = self.get(section, option)'), ('/usr/lib/python2.4/ConfigParser.py', 511, 'get', 'raise NoSectionError(section)')]
    2008-02-04 20:22:14,578 WARNING: Restoring firewall rules...
    2008-02-04 20:28:17,101 ERROR: Fail2Ban got an unhandled exception and died.
    2008-02-04 20:28:17,101 ERROR: Type: 'NoSectionError'
    ---

    Ich habe definitiv nur die Pfade bei Falkos Config-Empfehlung geändert! Da muss möglicherweise irgendwas mit Phyton nicht stimmen...
     
  8. Till

    Till Administrator

    Ich denke der Fehler meint, dass Du keine Überwachungsoptionen für das Mail Log in Deiner fail2ban Konfiguration definiert hast.
     
  9. hahni

    hahni Active Member

    Und was für "Überwachungsoptionen" müssten dann eingestellt werden? Wenn dem so wäre, müsste ja auch Falkos Config einen Fehler werfen!
     
  10. hahni

    hahni Active Member

    Hallo Till,

    ich bin der Sache schon etwas weiter auf die Spur gekommen. Bei Ubuntu 6.06 LTS wird noch fail2ban 06 ausgeliefert. Diese Version hat aber eine ganz andere Strukur was die Konfigurationsdatei betrifft.

    Leider ist nicht ersichtlich, für welche Version die Vorschläge von Falko erstellt sind. Und selbst wenn es so wäre: für Ubuntu wird via apt-get install nur die Version 0.6 angeboten.

    Von daher meine Frage: kann ich mühelos auf 0.8 updaten? Wenn ja: wie und vor allem: sind dann auch die Requirements wie die dafür erforderliche Phyton inbegriffen? Wenn ich nicht über apt-get installiere, muss ich mich ja immer selbst um die Updates kümmern...

    Grüße

    Hahni
     
  11. Till

    Till Administrator

  12. hahni

    hahni Active Member

    Die sind ja erfüllt. Es scheitert meiner Meinung nach an dem regulären Ausdruck!
     

Diese Seite empfehlen