Illegal users from:
undef: 1365 times
Servus, oben seht ihr mein aktuelles Problem. Ich denke dass ich nicht viel dazu sagen muss und wollte euch mal fragen was ich zur Sicherheit machen sollte?
lg. Alex
Illegal users from:
undef: 1365 times
Servus, oben seht ihr mein aktuelles Problem. Ich denke dass ich nicht viel dazu sagen muss und wollte euch mal fragen was ich zur Sicherheit machen sollte?
lg. Alex
Ich habe nun fail2ban installiert und siehe da, in der Logdatei steht geschrieben dass bereits eine IP gebannt wurde.
Edit: Hier noch ein paar IP-Adressen die ich in den SSH-Logs beim Überfliegen herausgefischt habe.
222.186.62.55
113.108.211.131
61.160.215.117
222.186.62.23
61.160.215.104
218.2.22.147
133.11.32.72
218.2.22.133
218.2.22.122
175.99.95.240
222.186.62.56
222.186.62.43
222.186.62.44
222.186.62.5
76.76.105.218
61.160.215.208
193.107.16.206
218.2.22.131
211.51.174.61
61.174.51.211
202.85.221.153
218.2.22.138
218.26.89.179
125.65.165.235
1.245.51.210
Alles anzeigen
Das ist alles ganz normal. Entweder man nutzt Fail2ban oder setzt Schlüssel Paare ein. Dann ist es egal wie oft die Bots es probieren.
Beides gleichzeitig ist natürlich noch besser.
Was mich momentan noch wundert ist dass ich keine E-Mail zugesandt bekomme (von Fail2Ban) obwohl ich das eingerichtet habe, wo könnte da denn ein Fehler liegen?
lg.
Ja es läuft Postfix in Verbindung mit Dovecot.
Mail kommt an
Reverse DNS ist auch gesetzt.
In den Logs fällt mir nichts ungewähnliches auf.
lg.
Alex
Also wenn Die Mail über die Kommandozeile ankommt, dann ist in Fail2Ban irgendwas falsch konfiguriert. Habe jetzt grad meine SSH Schlüssel nicht zur Hand, sonst würde ich mal meine Config posten.
Kannst du das eventuell nachholen?
Ja ich versuche heute Abend dran zu denken.
Guten Morgen zusammen,
ich habe meine hier:
[DEFAULT]
ignoreip = 127.0.0.1
bantime = 60
maxretry = 5
backend = auto
destemail = XXXXX@XXXXXXX.de
#
# ACTIONS
#
banaction = iptables-multiport
mta = sendmail
protocol = tcp
chain = INPUT
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action = %(action_mw)s
Alles anzeigen
wichtig ist: action = %(action_mw)s
Hier wird ferstgelegt das eine Mail verschickt wird.
edit:// Auserdem habe ich SSH nicht auf dem normalen Port laufen. Die meisten Bots prüfen nur die Standartports (in dem Fall ja 22) und machen nicht einen Kompletten Portscan. Also ich habe bei weitem nicht so viele fehlgeschlagenen logins. Bei mir blockt fail2ban eher IPs die versuchen Mails zu versenden (OpenRelay)
viele Grüße
dergeberl
Bis auf das dass die Bantime bei mir nicht bei einer Minute sondern bei einer Stunde liegt sieht die Konfiguration gleich aus.
Ja auf meinem Produktiv System sind es 12 Stunden
Hast du schon mal die Mail Logs gecheckt ob hier iwas steht?
viele Grüße
dergeberl
Ich hab oben bereits geschrieben dass mir nichts aufgefallen wäre.
Gibt es denn eine Möglichkeit eine Mail Testweise von fail2ban verschicken zu lassen?
lg.
Oh sry habe ich dann wohl überlesen
Mir ist keine bekannt deshalb die bantime von 1 min. Logge dich halt mal 5 mal falsch ein dann musst halt ne min warten
Bzw. fail2ban verschickt auch Mails wenn f2b neu gestartet wird. Beende den Dienst und Starte ihn wieder so sollten auch Mails erzeugt werden!
viele Grüße
Ich habe so eben die Konfiguration nochmal durchgesehen und bemerkt dass "action = %(action_mwl)s" wirklich nicht gesetzt war. Ich lasse mir übrigens direkt den Whois mitsenden.
Eine Frage habe ich noch, ich habe gerade eine Mail von fail2ban bekommen. Die Absender-Adresse ist "fail2ban@srva.domain.tld". Dies zieht sich durchs ganze System (das "srva.domain.tld").
Ich habe jedoch vor einer Zeit komplett auf "domain.tld" umgestellt (Reverse, Hostname, etc) jedoch wird dies bei Mails die vom Server versendet werden nicht übernommen.
Muss ich dies extra irgendwo umstellen? In die Postfix Config habe ich bereits geguckt, dort steht auch schon die neue Domain drin.
lg.
Alex
Das ist eine gute Frage.
Ich weiß nicht woher f2b diese Mailadresse bekommt. Evtl. /etc/mailname ?
viele Grüße
Das ist eine gute Frage.
Ich weiß nicht woher f2b diese Mailadresse bekommt. Evtl. /etc/mailname ?
viele Grüße
Danke, genau dort lag der Fehler