vServer fail2ban Alternative

extremmichi · 30. Dezember 2011

ich weiss sind keine 24h rum

hat keiner ne Idee?

Schupp · 1. Januar 2012

bei f2b nicht zu vergessen das nach zum beispiel 5min wieder entbannt wird wenn nicht anders angegeben

extremmichi · 1. Januar 2012

ja ich weiss
allerdings sind es bei mir 10 min.
Da wir das alles aber live getestet haben , ist uns dabei
aber erst aufgefallen, dass "definitiv nichts" im vcp
in den iptables eingetragen wird. die ban und unban werden fein säuberlich in
fail2ban.log eingetragen aber gesperrt wird keine IP

gruss

michi

Frohen Neues @ALL

schimmelmann · 11. Januar 2012

Hallo Leute!
Ich habe ja nun schon einige Zeit meinen Server am Laufen. Relativ schnell wurde mir klar das itables hier nicht geht und damit fail2ban nicht funktioniert. Ich bin dann auf diesen Beitrag gestossen. Ich habe dieses Thema nun seit dem ersten Beitrag verfolgt und immer wieder vorgenommen das Script auch auf meinem Server umzusetzen. Dann kam das neue VSERVER Admin Panel und das bisherige Script funktionierte ja laut dieses Forums nicht mehr. Dann gab es gesundheitliche Probleme und ich musste mich erst einmal zurück ziehen. Nun habe ich mich heute dran gemacht das Script zu installieren. Ich musste in den letzten Tagen den Server sowieso neu aufsetzten. Somit hatte ich gute Vorraussetzungen. Vorher schnell ein Backup gemacht und das Script und fail2ban installiert. Und? Gleich auf Anhieb funktionierte das Script ohne Fehlermeldung und ein Probedurchlauf (Einloggen mit falschem Passwort bei SSH) klappte. Nun werde ich weiter testen und schauen ob auch die anderen Funktionen greifen.
Hier und jetzt erstmal einen großen Dank an die die sich die Mühe gemacht haben dieses Script zu programmieren.
Gruß Jörn

Nachtrag: Es läuft wie gewünscht! Danke!!!

Marcoo · 13. Januar 2012

Huhu,

irgendwie klappt das bei mir nicht

Code

vserver:/etc/fail2ban# /etc/init.d/fail2ban restart 
Restarting authentication failure monitor: fail2ban failed! 
vserver:/etc/fail2ban# fail2ban-server reload 
2012-01-13 21:47:30,377 fail2ban.server : INFO Starting Fail2ban v0.8.3 
2012-01-13 21:47:30,377 fail2ban.server : INFO Starting in daemon mode 
vserver:/etc/fail2ban# fail2ban-client reload 
WARNING 'findtime' not defined in 'apache-noscript'. Using default value 
WARNING 'findtime' not defined in 'pam-generic'. Using default value 
WARNING 'findtime' not defined in 'vsftpd'. Using default value 
WARNING 'findtime' not defined in 'xinetd-fail'. Using default value 
WARNING 'findtime' not defined in 'named-refused-udp'. Using default value 
WARNING 'findtime' not defined in 'ssh-ddos'. Using default value 
WARNING 'findtime' not defined in 'apache-multiport'. Using default value 
WARNING 'findtime' not defined in 'apache-overflows'. Using default value 
WARNING 'findtime' not defined in 'couriersmtp'. Using default value 
ERROR /etc/fail2ban/action.d/hostsdeny.conf and /etc/fail2ban/action.d/hostsdeny.local do not exist 
ERROR Error in action definition hostsdeny 
ERROR Errors in jail 'couriersmtp'. Skipping... 
vserver:/etc/fail2ban#

Alles anzeigen

Habt ihr eine Idee oder hab ich was vergessen?

lg

schimmelmann · 14. Januar 2012

Hallo!
Wenn ich mir deine Fehlermeldungen ansehe, hast du dich scheinbar nicht an die Anleitung ( Fail2Ban / IPTables auf Netcup VServern - n-durch-x ) gehalten.
In dem Ordner /etc/fail2ban/action.d sollten alle vorhandenen Scripte gelöscht werden und dann müssen dort die beiden Scripte aus diesem Forum rein.
So hat es bei mir funktioniert und die Regeln greifen auch schon.
Gruß Jörn

Marcoo · 14. Januar 2012

Hallo,

ich habe mich an die Anleitung gehalten.

Siehe:

Code

black-server:/etc/fail2ban/action.d# dir
sync.conf  sync.sh

Lg

Pionier · 14. Januar 2012

Du musst aber auch die Anpassungen in der "jail.conf" machen.

Dort findest du auch "findtime"

Marcoo · 15. Januar 2012

Vor dem action = sync war ein #.

Trotzdem funktioniert es komischerweise nicht.

Das Skript hab ich mittels "./sync.sh IP-Adresse add" ausprobiert.

Mir wird nur die LoginSeite ausgegeben in der Console. Entweder ich steh total aufm Schlauch oder weiß ich auch nicht

--edit--

Falsche Kundennummer eingegeben -selbst hau-

schimmelmann · 17. Januar 2012

Hallo!
Vorab noch mal ein Dankeschön an den Scriptschreiber. Ich bin total begeistert. Ich hätte mich schon viel früher um das Script bemühen sollen. Nun habe ich eine Menge unnötigen Verkehr bloggen können. So ist es nun auch wirklich nicht mehr tragisch nicht direkt auf itables zurück greifen zu können.

Nun habe ich mal eine Frage an den Scriptschreiber:
Woher weißt du mit welchen Befehlen du auf die Firewall zugreifen kannst? Gibt es eine Dokumentation? Ich bin bis jetzt nicht fündig geworden. Würde mich einfach mal interessieren
Gruß Jörn

Dragon · 17. Januar 2012

Einfach den Quelltext des VCPs anschauen...

Marcoo · 17. Januar 2012

Huhu

meine Log von Fail2Ban ist mit sowas voll:

Code

2012-01-17 17:28:54,031 fail2ban.actions: WARNING [named-refused-udp] IP already banned
2012-01-17 17:28:54,166 fail2ban.actions: WARNING [named-refused-tcp] IP already banned
2012-01-17 17:29:24,055 fail2ban.actions: WARNING [named-refused-udp] IP already banned
2012-01-17 17:29:25,192 fail2ban.actions: WARNING [named-refused-tcp] IP already banned
2012-01-17 17:29:55,084 fail2ban.actions: WARNING [named-refused-udp] IP already banned
2012-01-17 17:29:55,220 fail2ban.actions: WARNING [named-refused-tcp] IP already banned
2012-01-17 17:30:26,114 fail2ban.actions: WARNING [named-refused-udp] IP already banned
2012-01-17 17:30:26,250 fail2ban.actions: WARNING [named-refused-tcp] IP already banned

Warum versucht er die IP nochmal zu bannen, wenn diese denn schon längst gebannt ist?!

lg

wXXX · 17. Januar 2012

Dann wird die IP anscheinend nicht eingetragen.

Schau mal im VCP ob dort einträge sind.

Hatte eben auch mal nachgesehen, bei mir hatte das script auch nichts eingetragen. Bzw. anstatt in IPv4 in den IPv6 Bereich.

Und hier ein Hinweis für Debian Squeeze Nutzer:

In der /etc/fail2ban/action.d/sync.sh muss:

Bash

#!/bin/sh

durch

Bash

#!/bin/bash

ersetzt werden.

Das steht auch auf der n-durch-x seite in den Kommentaren.

Nun läuft mein Script auch wieder richtig.

Marcoo · 17. Januar 2012

Hey,

ja die IP wird in der Firewall eingetragen. Hab es nun nochmal getestet.

lg

wXXX · 17. Januar 2012

Oder es gibt halt laufend Grund diese IP zu bannen.

schimmelmann · 17. Januar 2012

Zitat von Dragon

Einfach den Quelltext des VCPs anschauen

Da hätte ich ja auch drauf kommen können
Danke für den Hinweis!
Gruß Jörn

perryflynn · 18. Januar 2012

Für solche Analysen kann ich das Firefox AddOn Firebug empfehlen.
Standardausrüstung für jeden Webentwickler.

Firebug :: Add-ons for Firefox

Einfach mal die Tabs "Konsole" und "Netzwerk" anschauen nachdem man auf "Speichern" oder "Absenden" geklickt hat.

Dragon · 18. Januar 2012

Einige andere Browser bieten diese Funktion sogar ohne Addon...

perryflynn · 18. Januar 2012

Das im Chrome, ist Beispielsweise aber nicht annähernd so gut, von der Benutzbarkeit.

extremmichi · 18. Januar 2012

so ich möchte noch schnell nachreichen , warum es bei mir nicht geklappt hat, falls jemand das selbe Problem hat wie ich.

es lag am servername den ich angegeben habe.

Code

servername="" #your vserver name (vXXXXXXXXXXXX)

hier darf nur der servername(vXXXXXXXXXXXX) wie ja auch angegeben rein.
ich hatte an den Servernamen noch den FQDN angehängt
also:

Code

servername="vXXXXXXXXXXXXXX.yourvserver.net";

was mir immer n 500-Fehler (internal Servererror) auswarf.
Also mein Fehler
Das script läuft jetzt super
Danke nochmal für deine Leistung
ndurchx

gruss

michi