kostenloser Webspace werbefrei: lima-city


fail2ban bannt nicht nach fehlgeschl. versuchen

lima-cityForumHeim-PCBetriebssysteme

  1. Autor dieses Themas

    l*******k

    Hallo,

    ich hab es nun an mehreren Computer mit einem falschen Passwort versucht auf meinen vServer der mit fail2ban geschützt ist versucht einzuloggen, es wirft mich alledings immer nur nach fünf falsche Versuche, ich habe aber in der jail.con bei den Konfigurationen alle auf max. 2 Versuche gesetzt und den fail2ban und ssh server neu gestartet. Warum funktioniert das ganze nicht mit den 2 Versuchen muss ich noch irgendwas anderes einstellen?

    Gruß
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. lokalbook schrieb:
    Hallo,

    ich hab es nun an mehreren Computer mit einem falschen Passwort versucht auf meinen vServer der mit fail2ban geschützt ist versucht einzuloggen, es wirft mich alledings immer nur nach fünf falsche Versuche, ich habe aber in der jail.con bei den Konfigurationen alle auf max. 2 Versuche gesetzt und den fail2ban und ssh server neu gestartet. Warum funktioniert das ganze nicht mit den 2 Versuchen muss ich noch irgendwas anderes einstellen?

    Gruß


    Vielleicht hast du einen falschen Pfad oder Port oder sonstiges?

    ein Beispiel für Apache
    [apache]
    enabled = true
    port = http
    filter = apache-auth
    logpath = /var/log/apache2/users/*access.log
    maxretry = 6



    Kannst du einmal deinen Inhalt der config posten, dann könnte man das kontrollieren.?
  4. Autor dieses Themas

    l*******k

    Meine jail.conf, danke.

    # Fail2Ban configuration file.
    #
    # This file was composed for Debian systems from the original one
    #  provided now under /usr/share/doc/fail2ban/examples/jail.conf
    #  for additional examples.
    #
    # To avoid merges during upgrades DO NOT MODIFY THIS FILE
    # and rather provide your changes in /etc/fail2ban/jail.local
    #
    # Author: Yaroslav O. Halchenko <debian@onerussian.com>
    #
    # $Revision: 281 $
    #
    
    # The DEFAULT allows a global definition of the options. They can be override
    # in each jail afterwards.
    
    [DEFAULT]
    
    # "ignoreip" can be an IP address, a CIDR mask or a DNS host
    ignoreip = 127.0.0.1
    bantime  = 2000
    maxretry = 2
    
    # "backend" specifies the backend used to get files modification. Available
    # options are "gamin", "polling" and "auto".
    # yoh: For some reason Debian shipped python-gamin didn't work as expected
    #      This issue left ToDo, so polling is default backend for now
    backend = polling
    
    #
    # Destination email address used solely for the interpolations in
    # jail.{conf,local} configuration files.
    destemail = mymail
    
    #
    # ACTIONS
    #
    
    # Default banning action (e.g. iptables, iptables-new,
    # iptables-multiport, shorewall, etc) It is used to define 
    # action_* variables. Can be overriden globally or per 
    # section within jail.local file
    banaction = iptables-multiport
    
    # email action. Since 0.8.1 upstream fail2ban uses sendmail
    # MTA for the mailing. Change mta configuration parameter to mail
    # if you want to revert to conventional 'mail'.
    mta = sendmail
    
    # Default protocol
    protocol = tcp
    
    #
    # Action shortcuts. To be used to define action parameter
    
    # The simplest action to take: ban only
    action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
    
    # ban & send an e-mail with whois report to the destemail.
    action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
                  %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]
    
    # ban & send an e-mail with whois report and relevant log lines
    # to the destemail.
    action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
                   %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
     
    # Choose default action.  To change, just override value of 'action' with the
    # interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
    # globally (section [DEFAULT]) or per specific section 
    action = %(action_)s
    
    #
    # JAILS
    #
    
    # Next jails corresponds to the standard configuration in Fail2ban 0.6 which
    # was shipped in Debian. Enable any defined here jail by including
    #
    # [SECTION_NAME] 
    # enabled = true
    
    #
    # in /etc/fail2ban/jail.local.
    #
    # Optionally you may override any other parameter (e.g. banaction,
    # action, port, logpath, etc) in that section within jail.local
    
    [ssh]
    
    enabled = true
    port	= ssh
    filter	= sshd
    logpath  = /var/log/auth.log
    maxretry = 2
    
    # Generic filter for pam. Has to be used with action which bans all ports
    # such as iptables-allports, shorewall
    [pam-generic]
    
    enabled = false
    # pam-generic filter can be customized to monitor specific subset of 'tty's
    filter	= pam-generic
    # port actually must be irrelevant but lets leave it all for some possible uses
    port = all
    banaction = iptables-allports
    port     = anyport
    logpath  = /var/log/auth.log
    maxretry = 2
    
    [xinetd-fail]
    
    enabled   = false
    filter    = xinetd-fail
    port      = all
    banaction = iptables-multiport-log
    logpath   = /var/log/daemon.log
    maxretry  = 2
    
    
    [ssh-ddos]
    
    enabled = true
    port    = ssh
    filter  = sshd-ddos
    logpath  = /var/log/auth.log
    maxretry = 2
    
    #
    # HTTP servers
    #
    
    [apache]
    
    enabled = true
    port	= http,https
    filter	= apache-auth
    logpath = /var/log/apache*/*error.log
    maxretry = 2
    
    # default action is now multiport, so apache-multiport jail was left
    # for compatibility with previous (<0.7.6-2) releases
    [apache-multiport]
    
    enabled   = true
    port	  = http,https
    filter	  = apache-auth
    logpath   = /var/log/apache*/*error.log
    maxretry  = 2
    
    [apache-noscript]
    
    enabled = false
    port    = http,https
    filter  = apache-noscript
    logpath = /var/log/apache*/*error.log
    maxretry = 2
    
    [apache-overflows]
    
    enabled = false
    port    = http,https
    filter  = apache-overflows
    logpath = /var/log/apache*/*error.log
    maxretry = 2
    
    #
    # FTP servers
    #
    
    [vsftpd]
    
    enabled  = true
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = vsftpd
    logpath  = /var/log/vsftpd.log
    # or overwrite it in jails.local to be
    # logpath = /var/log/auth.log
    # if you want to rely on PAM failed login attempts
    # vsftpd's failregex should match both of those formats
    maxretry = 2
    
    
    [proftpd]
    
    enabled  = true
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = proftpd
    logpath  = /var/log/proftpd/proftpd.log
    maxretry = 2
    
    
    [wuftpd]
    
    enabled  = true
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = wuftpd
    logpath  = /var/log/auth.log
    maxretry = 2
    
    
    #
    # Mail servers
    #
    
    [postfix]
    
    enabled  = true
    port	 = smtp,ssmtp
    filter   = postfix
    logpath  = /var/log/mail.log
    
    
    [couriersmtp]
    
    enabled  = false
    port	 = smtp,ssmtp
    filter   = couriersmtp
    logpath  = /var/log/mail.log
    
    
    #
    # Mail servers authenticators: might be used for smtp,ftp,imap servers, so
    # all relevant ports get banned
    #
    
    [courierauth]
    
    enabled  = false
    port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    filter   = courierlogin
    logpath  = /var/log/mail.log
    
    
    [sasl]
    
    enabled  = false
    port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    filter   = sasl
    # You might consider monitoring /var/log/warn.log instead
    # if you are running postfix. See http://bugs.debian.org/507990
    logpath  = /var/log/mail.log
    
    
    # DNS Servers
    
    
    # These jails block attacks against named (bind9). By default, logging is off
    # with bind9 installation. You will need something like this:
    #
    # logging {
    #     channel security_file {
    #         file "/var/log/named/security.log" versions 3 size 30m;
    #         severity dynamic;
    #         print-time yes;
    #     };
    #     category security {
    #         security_file;
    #     };
    # };
    #
    # in your named.conf to provide proper logging
    
    # !!! WARNING !!!
    #   Since UDP is connectionless protocol, spoofing of IP and immitation
    #   of illegal actions is way too simple.  Thus enabling of this filter
    #   might provide an easy way for implementing a DoS against a chosen
    #   victim. See
    #    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
    #   Please DO NOT USE this jail unless you know what you are doing.
    #[named-refused-udp]
    #
    #enabled  = false
    #port     = domain,953
    #protocol = udp
    #filter   = named-refused
    #logpath  = /var/log/named/security.log
    
    [named-refused-tcp]
    
    enabled  = false
    port     = domain,953
    protocol = tcp
    filter   = named-refused
    logpath  = /var/log/named/security.log
  5. Dein Code scheint eigentlich richtig zu sein, bis auf ein Paar Sachen die mir aufgefallen sind. Dein Pfad im Apache Bereich scheint etwas merkwürdig zu sein:
    logpath = /var/log/apache*/*error.log

    Ist es möglich, dass es vielleicht falsch ist und
    logpath = /var/log/apache/*error.log

    heißen sollte?

    Desweiteren wird die locale ip ignoriert, also ausgeschlossen
    ignoreip = 127.0.0.1
    Das heißt, wenn du auf deinem Pc / Server bist hast du beliebig viele Fehlversuche, weil es eben lokal ist. Hast du es mal mit einem anderen pc probiert vielleicht auch via ftp?

    //EDIT: Habe das hier noch gefunden:
    RHEL / Red Hat / CentOS / Fedora Linux Apache error file location - /var/log/httpd/error_log

    Debian / Ubuntu Linux Apache error log file location - /var/log/apache2/error.log

    FreeBSD Apache error log file location - /var/log/httpd-error.log

    Das bestätigt meine Vermutung, dass dein Apache Pfad falsch ist, du musst den exakten Pfad angeben :)
    ______________________________________________________________________________________________
    lokalbook schrieb:
    Meine jail.conf, danke.

    Nur zitiert, damit du eine Benachrichtigung bekommst.

    Beitrag zuletzt geändert: 20.11.2011 13:31:40 von kill-a-teddy
  6. Autor dieses Themas

    l*******k

    Hey,

    ich hab es auch an anderen PC's getestet:

    Das heißt, wenn du auf deinem Pc / Server bist hast du beliebig viele Fehlversuche, weil es eben lokal ist. Hast du es mal mit einem anderen pc probiert vielleicht auch via ftp?



    Hab nun auch den Pfad hier angepasst: logpath = /var/log/apache2/error.log

    Müsste ich an der config.php Datei auch noch was anpassen da drin steht nähmlich das selbe wie in der jail.conf.

    Kannst du mal versuchen ab wann dich der Server schmeißt?
    IP: 78.47.189.190
    Port: 59173

    Danke

    Beitrag zuletzt geändert: 20.11.2011 14:07:25 von lokalbook
  7. fleischhoernchen

    Kostenloser Webspace von fleischhoernchen

    fleischhoernchen hat kostenlosen Webspace.

    Da dein Server bei netcup ist und diese zur Virtualisierung linux-vserver benutzen, kannst du auch keine iptables oder ähnliches für fail2ban nutzen.

    "Rauschmeißen" tut dich der sshd selbst. (siehe sshd config)

    Nutze key auth.

    - Oleander
  8. lokalbook schrieb:
    Kannst du mal versuchen ab wann dich der Server schmeißt?


    Ich hab jetzt PuttY benutzt und werd nach 6 versuchen geschmissen.
    Du musst alle Dateien anpassen, wo das drin steht und schau auch nochmal in der jail.local Datei nach

    Beitrag zuletzt geändert: 20.11.2011 14:26:13 von kill-a-teddy
  9. fleischhoernchen

    Kostenloser Webspace von fleischhoernchen

    fleischhoernchen hat kostenlosen Webspace.

    kill-a-teddy schrieb:
    lokalbook schrieb:
    Kannst du mal versuchen ab wann dich der Server schmeißt?


    Ich hab jetzt PuttY benutzt und werd nach 6 versuchen geschmissen.
    Du musst alle Dateien anpassen, wo das drin steht und schau auch nochmal in der jail.local Datei nach

    Ich hab doch gerade gesagt, dass fail2ban nicht nutzbar ist....
  10. Autor dieses Themas

    l*******k

    Hallo,

    ich hab es nun so getestet; aber welche Rechte sollen die Dateien bekommen?
    http://blog.n-durch-x.de/2011/07/fail2ban-auf-netcup-vservern/

    und könnte nochmals jemand testen, wann der Server rausschmeißt?

    IP: 78.47.189.190
    Port: 59173


    kill-a-teddy, bei dir ist es noch nicht möglich, bzw. wo kann ich da deine IP wieder rauslöschen?

    Gruß
  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!