1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Talk fail2ban bannt nicht

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von pm2025, 9. Januar 2014.

  1. pm2025
    Offline

    pm2025 Ist gelegentlich hier

    Registriert:
    10. Mai 2013
    Beiträge:
    68
    Zustimmungen:
    12
    Punkte für Erfolge:
    8
    Hi,

    habe heute einen neuen Thin aufgesetzt mit debian und IPC. Wollte so wie auf meinem alten Fail2ban für oscaminfo und ipc login nehmen.

    Wenn ich jetzt versuche mich falsch anzumelden (ipc oder oscaminfo) wird alles mitgeloggt, aber fail2ban sperrt mich erst aus wenn ich fail2ban restarte.Bis dahin kann ich mich x-male falsch anmelden oder halt auch richtig anmelden! Woran kann das liegen?

    Wenn ich die fail2ban config dateien auf meinen alten Thin draufkopiere geht es ohne Probleme!
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. Derek Buegel
    Offline

    Derek Buegel VIP

    Registriert:
    11. September 2010
    Beiträge:
    9.501
    Zustimmungen:
    9.969
    Punkte für Erfolge:
    113
    AW: fail2ban bannt nicht

    In dem Falle währen die configs ganz hilfreich!

    MfG
     
    #2
  4. pm2025
    Offline

    pm2025 Ist gelegentlich hier

    Registriert:
    10. Mai 2013
    Beiträge:
    68
    Zustimmungen:
    12
    Punkte für Erfolge:
    8
    AW: fail2ban bannt nicht

    Hier die Jail.conf

    # Fail2Ban configuration file.#
    # This file was composed for Debian systems from the original one
    # provided now under /usr/share/doc/fail2ban/examples/jail.conf
    # for additional examples.
    #
    # To avoid merges during upgrades DO NOT MODIFY THIS FILE
    # and rather provide your changes in /etc/fail2ban/jail.local
    #
    # Author: Yaroslav O. Halchenko <debian@onerussian.com>
    #
    # $Revision$
    #


    # The DEFAULT allows a global definition of the options. They can be overridden
    # in each jail afterwards.


    [DEFAULT]


    # "ignoreip" can be an IP address, a CIDR mask or a DNS host
    ignoreip = 127.0.0.1/8
    bantime = 600
    maxretry = 3


    # "backend" specifies the backend used to get files modification. Available
    # options are "gamin", "polling" and "auto".
    # yoh: For some reason Debian shipped python-gamin didn't work as expected
    # This issue left ToDo, so polling is default backend for now
    backend = auto


    #
    # Destination email address used solely for the interpolations in
    # jail.{conf,local} configuration files.
    destemail = root@localhost


    #
    # ACTIONS
    #


    # Default banning action (e.g. iptables, iptables-new,
    # iptables-multiport, shorewall, etc) It is used to define
    # action_* variables. Can be overridden globally or per
    # section within jail.local file
    banaction = iptables-multiport


    # email action. Since 0.8.1 upstream fail2ban uses sendmail
    # MTA for the mailing. Change mta configuration parameter to mail
    # if you want to revert to conventional 'mail'.
    mta = sendmail


    # Default protocol
    protocol = tcp


    # Specify chain where jumps would need to be added in iptables-* actions
    chain = INPUT


    #
    # Action shortcuts. To be used to define action parameter


    # The simplest action to take: ban only
    action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]


    # ban & send an e-mail with whois report to the destemail.
    action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
    %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]


    # ban & send an e-mail with whois report and relevant log lines
    # to the destemail.
    action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
    %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]


    # Choose default action. To change, just override value of 'action' with the
    # interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
    # globally (section [DEFAULT]) or per specific section
    action = %(action_)s


    #
    # JAILS
    #


    # Next jails corresponds to the standard configuration in Fail2ban 0.6 which
    # was shipped in Debian. Enable any defined here jail by including
    #
    # [SECTION_NAME]
    # enabled = true


    #
    # in /etc/fail2ban/jail.local.
    #
    # Optionally you may override any other parameter (e.g. banaction,
    # action, port, logpath, etc) in that section within jail.local




    # file "/var/log/named/security.log" versions 3 size 30m;
    # severity dynamic;
    # print-time yes;
    # };
    # category security {
    # security_file;
    # };
    # };
    #
    # in your named.conf to provide proper logging


    # !!! WARNING !!!
    # Since UDP is connection-less protocol, spoofing of IP and imitation
    # of illegal actions is way too simple. Thus enabling of this filter
    # might provide an easy way for implementing a DoS against a chosen
    # victim. See
    #

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    # Please DO NOT USE this jail unless you know what you are doing.


    [oscaminfo_login]
    enabled = true
    port = 80,443
    filter = oscaminfo-login
    logpath = /var/www/oscaminfo/logs/auth.failed.log
    bantime = 3600
    maxretry = 3


    #
    # HTTP servers
    #


    [apache]


    enabled = true
    port = http,https
    filter = apache-auth
    logpath = /var/log/apache*/*error.log
    maxretry = 6


    # default action is now multiport, so apache-multiport jail was left
    # for compatibility with previous (<0.7.6-2) releases
    [apache-multiport]


    enabled = false
    port = http,https
    filter = apache-auth
    logpath = /var/log/apache*/*error.log
    maxretry = 6


    [apache-noscript]


    enabled = true
    port = http,https
    filter = apache-noscript
    logpath = /var/log/apache*/*error.log
    maxretry = 6


    [apache-overflows]


    enabled = true
    port = http,https
    filter = apache-overflows
    logpath = /var/log/apache*/*error.log
    maxretry = 2


    [apache-nohome]
    enabled = true
    port = http,https
    filter = apache-nohome
    logpath = /var/log/apache*/*error.log
    maxretry = 5


    [apache-badbots]
    enabled = true
    port = http,https
    filter = apache-badbots
    logpath = /var/log/apache*/*access.log
    maxretry = 3


    [apache-404block]
    enabled = true
    port = http,https
    filter = apache-404block
    logpath = /var/log/apache*/*access.log
    maxretry = 5


    [ipc_login]
    enabled = true
    port = http,https
    filter = ipc-login
    logpath = /var/www/ipc/page/include/WEBIF_FAILEDauth.log
    bantime = 3600
    maxretry = 3

    Hier die ipc-login.conf:

    [Definition]failregex = .*LOGIN FAILED: <HOST>
    ignoreregex =


    Hier die oscaminfo-login.conf:

    [Definition]failregex = .*LOGIN FAILED: <HOST>
    ignoreregex =
     
    #3
  5. Derek Buegel
    Offline

    Derek Buegel VIP

    Registriert:
    11. September 2010
    Beiträge:
    9.501
    Zustimmungen:
    9.969
    Punkte für Erfolge:
    113
    AW: fail2ban bannt nicht

    Mist, da hab ich wohl was falsch verstanden, ich nahm an, Du hast die Failban in oscam.conf gemeint. Davon hab ich keinen Plan, aber ich bin nicht der Einzige hier. Vlt. kann ein Anderer helfen.

    MfG
     
    #4
    pm2025 gefällt das.
  6. pm2025
    Offline

    pm2025 Ist gelegentlich hier

    Registriert:
    10. Mai 2013
    Beiträge:
    68
    Zustimmungen:
    12
    Punkte für Erfolge:
    8
    AW: fail2ban bannt nicht

    Ok,

    ich habe da selber einen Fehler entdeckt. Naja ich weiß nicht ob das so gewollt ist????

    Wenn man sich falsch 3x eingeloggt wird man gebannt, alles soweit ok.Setzt man die iptables zurück schreibt fail2ban ins log: "ip already banned" und bannt sie erst wieder nach der eingestellten Banntime. Muss das so sein?

    Das war mir vorher nie aufgefallen!
     
    #5
  7. blackremote111
    Offline

    blackremote111 Newbie

    Registriert:
    14. Januar 2014
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    AW: fail2ban bannt nicht

    Liegt vllt daran dass fail2ban intern immer noch der Meinung ist dass die IP gebannt ist. fail2ban überprüft wahrscheinlich nicht ob die iptables-Regel noch vorhanden ist.
     
    #6

Diese Seite empfehlen