ISPconfig 3 und fail2ban

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von ColossusCH, 1. Mai 2009.

  1. ColossusCH

    ColossusCH New Member

    Hallo zusammen,
    ich habe ein kleines Problem (Anfängerproblem?), um fail2ban für FTP Brute Force Attacken zu konfigurieren.

    mit folgenen Sachen habe ich ein bisschen zu kämpfen (auszug aus "auth.log"):

    Apr 30 06:22:05 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
    Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
    Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
    Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
    Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
    Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
    Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
    Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
    Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
    Apr 30 06:22:53 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown

    und dies ohne Ende.

    Mein System ist Debian Lenny mit ISPconfig 3 (gemäss Anleitung von Falko (nochmals herzlichen Dank)).

    Standartmässig ist fail2ban für SSH konfiguriert. Eine Anleitung zum aktivieren von pure-ftpd habe ich hier gefunden:
    http://www.howtoforge.com/forums/showthread.php?t=13830

    ich habe folgende sachen gemacht:
    in der erstellten kopie von "jail.conf" - "jail.local"
    Code:
    [pureftpd]
     
    enabled  = true
    port     = ftp
    filter   = pureftpd
    logpath  = /var/log/auth.log
     
    maxretry = 3
    dann mit folgendem Befehl eine Datei "pureftpd.conf" erstellt
    Code:
    vi filter.d/pureftpd.conf
    und hier folgendes eingefügt:
    Code:
    [Definition]
    failregex = pure-ftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>
    ignoreregex =
    dann restart mit:
    Code:
    /etc/init.d/fail2ban restart
    SSH wir geblockt aber für FTP hat dies keinen Effekt.

    Ich habe auch die folgende einstellung für "pureftp.conf" probiert, hat jedoch auch nichts gebracht:
    Code:
    [Definition]
    failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
    ignoreregex =
    weiterhin habe ich gelesen, dass für Debian Etch folgendes gemacht werden muss:
    Code:
    echo "yes" > /etc/pure-ftpd/conf/DontResolve
    /etc/init.d/pure-ftpd-mysql restart
    leider auch ohne Erfolg,
    ich habe auch irgendwo gelesen, dass ich in der "jail.local" auf die "syslog" anstelle von der "auth.log" zugreifen soll (auch ohne effekt).

    kann mir jemand weiterhelfen?

    Im voraus herzlichen Dank.

    PS.
    eine Meldung aus dem fail2ban Log:
    2009-04-30 14:04:02,096 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
    2009-04-30 14:04:38,142 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
    2009-04-30 14:05:58,728 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
    2009-04-30 14:07:03,515 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de

    was bedeutet dies ????


    Hier ein weiterer Auszug aus dem fail2ban log:

    2009-05-01 06:36:28,126 fail2ban.jail : INFO Creating new jail 'pureftpd'
    2009-05-01 06:36:28,126 fail2ban.jail : INFO Jail 'pureftpd' uses poller
    2009-05-01 06:36:28,220 fail2ban.filter : INFO Added logfile = /var/log/syslog
    2009-05-01 06:36:28,221 fail2ban.filter : INFO Set maxRetry = 3
    2009-05-01 06:36:28,228 fail2ban.filter : INFO Set findtime = 600
    2009-05-01 06:36:28,229 fail2ban.actions: INFO Set banTime = 600
    2009-05-01 06:36:28,239 fail2ban.jail : INFO Creating new jail 'ssh'
    2009-05-01 06:36:28,239 fail2ban.jail : INFO Jail 'ssh' uses poller
    2009-05-01 06:36:28,333 fail2ban.filter : INFO Added logfile = /var/log/auth.log
    2009-05-01 06:36:28,337 fail2ban.filter : INFO Set maxRetry = 6
    2009-05-01 06:36:28,338 fail2ban.filter : INFO Set findtime = 600
    2009-05-01 06:36:28,339 fail2ban.actions: INFO Set banTime = 600
    2009-05-01 06:36:28,532 fail2ban.jail : INFO Jail 'pureftpd' started
    2009-05-01 06:36:28,540 fail2ban.jail : INFO Jail 'ssh' started
     
    Zuletzt bearbeitet: 1. Mai 2009
  2. Till

    Till Administrator

    Stell bitte sicher dass es einen korrekten DNS A-Record für mike177.server4you.de gibt.
     
  3. ColossusCH

    ColossusCH New Member

    Danke für die schnelle Antwort,
    ich glaube, ich habe das Problem gefunden.

    In der Serverkonfiguration von ISPconfig habe ich unter Nameserver die lokale IP (192.168.1.xx) angegeben, ist hier die IP eines offiziellen DNS-Servers anzugeben ????
    in meinem Fall "ns1.mydyndns.org = 204.13.248.76" ???
     
  4. Till

    Till Administrator

    Ja, die IP dort muss von einem ofiziellen externen Nameserver sein, sonst kann Dein Server keine Domains auflösen.
     
  5. PierreR32

    PierreR32 Member

    Sorry das ich den alten Thread nochmal auf greifen muss.
    Leider habe ich genau das selbe Problem und finde den Fehler nicht.

    Ich habe den Server mit Debian6 genau nach Howto aufgesetzt.
    Trotz allen versuchen lässt er keinen FTP User ins System.
    Leider bin ich am Ende mit meiner Weisheit und wüsste nicht wo ich noch nach einem Fehler suchen könnte.

    Kann mir einer Helfen ??

    Gruss
    Pierre
     
  6. Till

    Till Administrator

    Bist Du denn ganz sicher, dass es genau das selbe Problem ist? Hier geht es nämlich um das Gegenteil von dem was Du beschreibst, und zwar das User sich anmelden können obwohl sie eigentlich von Fail2ban wegen zu vieler Fehlversuche geblockt sein müssten.

    Vielleicjht macsht Du haer besser einen neuen Thread auf und postest dort dann mal die Meldeungen die im Syslog beim fehlgeschlagenen Login erscheinen.
     
  7. PierreR32

    PierreR32 Member

    Stimmt.
    Ok danke.
     

Diese Seite empfehlen