ISPconfig 3 und fail2ban

#1
Hallo zusammen,
ich habe ein kleines Problem (Anfängerproblem?), um fail2ban für FTP Brute Force Attacken zu konfigurieren.

mit folgenen Sachen habe ich ein bisschen zu kämpfen (auszug aus "auth.log"):

Apr 30 06:22:05 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:53 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown

und dies ohne Ende.

Mein System ist Debian Lenny mit ISPconfig 3 (gemäss Anleitung von Falko (nochmals herzlichen Dank)).

Standartmässig ist fail2ban für SSH konfiguriert. Eine Anleitung zum aktivieren von pure-ftpd habe ich hier gefunden:
http://www.howtoforge.com/forums/showthread.php?t=13830

ich habe folgende sachen gemacht:
in der erstellten kopie von "jail.conf" - "jail.local"
Code:
[pureftpd]
 
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/auth.log
 
maxretry = 3
dann mit folgendem Befehl eine Datei "pureftpd.conf" erstellt
Code:
vi filter.d/pureftpd.conf
und hier folgendes eingefügt:
Code:
[Definition]
failregex = pure-ftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>
ignoreregex =
dann restart mit:
Code:
/etc/init.d/fail2ban restart
SSH wir geblockt aber für FTP hat dies keinen Effekt.

Ich habe auch die folgende einstellung für "pureftp.conf" probiert, hat jedoch auch nichts gebracht:
Code:
[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =
weiterhin habe ich gelesen, dass für Debian Etch folgendes gemacht werden muss:
Code:
echo "yes" > /etc/pure-ftpd/conf/DontResolve
/etc/init.d/pure-ftpd-mysql restart
leider auch ohne Erfolg,
ich habe auch irgendwo gelesen, dass ich in der "jail.local" auf die "syslog" anstelle von der "auth.log" zugreifen soll (auch ohne effekt).

kann mir jemand weiterhelfen?

Im voraus herzlichen Dank.

PS.
eine Meldung aus dem fail2ban Log:
2009-04-30 14:04:02,096 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:04:38,142 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:05:58,728 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:07:03,515 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de

was bedeutet dies ????


Hier ein weiterer Auszug aus dem fail2ban log:

2009-05-01 06:36:28,126 fail2ban.jail : INFO Creating new jail 'pureftpd'
2009-05-01 06:36:28,126 fail2ban.jail : INFO Jail 'pureftpd' uses poller
2009-05-01 06:36:28,220 fail2ban.filter : INFO Added logfile = /var/log/syslog
2009-05-01 06:36:28,221 fail2ban.filter : INFO Set maxRetry = 3
2009-05-01 06:36:28,228 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,229 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,239 fail2ban.jail : INFO Creating new jail 'ssh'
2009-05-01 06:36:28,239 fail2ban.jail : INFO Jail 'ssh' uses poller
2009-05-01 06:36:28,333 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2009-05-01 06:36:28,337 fail2ban.filter : INFO Set maxRetry = 6
2009-05-01 06:36:28,338 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,339 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,532 fail2ban.jail : INFO Jail 'pureftpd' started
2009-05-01 06:36:28,540 fail2ban.jail : INFO Jail 'ssh' started
 
Zuletzt bearbeitet:
#3
Danke für die schnelle Antwort,
ich glaube, ich habe das Problem gefunden.

In der Serverkonfiguration von ISPconfig habe ich unter Nameserver die lokale IP (192.168.1.xx) angegeben, ist hier die IP eines offiziellen DNS-Servers anzugeben ????
in meinem Fall "ns1.mydyndns.org = 204.13.248.76" ???
 

Till

Administrator
#4
Ja, die IP dort muss von einem ofiziellen externen Nameserver sein, sonst kann Dein Server keine Domains auflösen.
 
#5
Sorry das ich den alten Thread nochmal auf greifen muss.
Leider habe ich genau das selbe Problem und finde den Fehler nicht.

Ich habe den Server mit Debian6 genau nach Howto aufgesetzt.
Trotz allen versuchen lässt er keinen FTP User ins System.
Leider bin ich am Ende mit meiner Weisheit und wüsste nicht wo ich noch nach einem Fehler suchen könnte.

Kann mir einer Helfen ??

Gruss
Pierre
 

Till

Administrator
#6
Bist Du denn ganz sicher, dass es genau das selbe Problem ist? Hier geht es nämlich um das Gegenteil von dem was Du beschreibst, und zwar das User sich anmelden können obwohl sie eigentlich von Fail2ban wegen zu vieler Fehlversuche geblockt sein müssten.

Vielleicjht macsht Du haer besser einen neuen Thread auf und postest dort dann mal die Meldeungen die im Syslog beim fehlgeschlagenen Login erscheinen.
 
#7
Bist Du denn ganz sicher, dass es genau das selbe Problem ist? Hier geht es nämlich um das Gegenteil von dem was Du beschreibst, und zwar das User sich anmelden können obwohl sie eigentlich von Fail2ban wegen zu vieler Fehlversuche geblockt sein müssten.

Vielleicjht macsht Du haer besser einen neuen Thread auf und postest dort dann mal die Meldeungen die im Syslog beim fehlgeschlagenen Login erscheinen.
Stimmt.
Ok danke.
 

Werbung