1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

fail2ban

Dieses Thema im Forum "Archiv" wurde erstellt von feissmaik, 19. März 2011.

  1. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    Eine neue Version des OnlineScripts fail2ban.sh ist jetzt verfügbar...


    Bei jedem ausführen des Scripts kann man die einzelnen Filter für
    bad command , signature failed , double login , illegal user
    ein oder aus schalten


    Wechselt man die CCcam Version zb von 2.1.1 auf 2.2.1 so sollte man das fail2ban.sh Script erneut ausführen sodass die Filter entsprechend erneuert werden weil sich das Format (leider) geändert hat

    Zum beispiel:
    CCcam 2.0.11 -> CCcam: deleting client <HOST>.*, read result -1
    CCcam 2.1.1 -> CCcam: deleting client <HOST>.*, bad command
    CCcam >2.1.2 -> CCcam: kick <HOST>.*, bad command


    /EDIT: Soweit ich es bisher beobachten konnte schreibt CCcam nach "illegal user" auch eine "signature failed" Meldung ins Log, weshalb ich bei mir nun nurnoch "signature failed" an habe da fail2ban ansonsten die gleiche IP 2x ausperrt... (ich nutze aber btw CCcam 2.1.1)
    "Bad command" hingegen werden hauptsächlich von den neueren CCcam 2.2.x verursacht und sollten bei Verwendung älterer Server möglichst vermieden werden, ansonsten crasht der CCcam Server evtl. öfter...

    ...Deshalb gibts jetzt ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
     
    Zuletzt bearbeitet: 4. April 2011
    #1
    szonic, selly und ysimmerath gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. Malak
    Offline

    Malak Hacker

    Registriert:
    16. März 2009
    Beiträge:
    365
    Zustimmungen:
    14
    Punkte für Erfolge:
    0
    AW: fail2ban

    Wie sollte man die Filter/Skripte am besten setzten? Gibt es da ne Empfehlung? (arbeite das erste mal mit fail2ban)

    Und wie kann man testen ob fail2ban richtig arbeitet?
     
    #2
  4. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    'illegal user' und 'signature failed' sind glaub ich fast die gleichen - wenns ne illegal user Meldung im Log gibt, kommt danach meistens auch ne signature failed Meldung (wenns für den Benutzer garkeine F-line gibt)

    bad command kommt zb vor wenn du dein Client oft nacheinander neu startest o.ä.

    double login kommt wenn du dich mit einem Account zwei oder mehrmals verbinden willst


    Das muss aber 10x nacheinander passieren damit fail2ban auch reagiert

    Standardmässig ist die Einstellung für alle Filter
    maxretry = 10
    bantime = 1800 (sekunden, also 1800 / 60 = 30min)

    (kann man in der /etc/fail2ban/jail.conf einstellen)



    /EDIT: ich habe bei mir nur folgende Filter aktiviert: signature failed , double login , illegal user

    bad command kommt bei 2.2.1 clients zb öfter vor und manche meinen auch das da nochn bug drin wär etc
     
    Zuletzt bearbeitet: 19. März 2011
    #3
    Wassertropfen gefällt das.
  5. smargocs
    Offline

    smargocs Newbie

    Registriert:
    15. Januar 2011
    Beiträge:
    5
    Zustimmungen:
    4
    Punkte für Erfolge:
    0
    AW: fail2ban

    ich finde bad command sollte man nicht nutzen.

    das kommt unter den unterschiedlichen cccam versionen ziemlich oft vor. auch wenn jemand ein nicht cccam client nutzt sollte man bad command nicht nutzen.
     
    #4
  6. Malak
    Offline

    Malak Hacker

    Registriert:
    16. März 2009
    Beiträge:
    365
    Zustimmungen:
    14
    Punkte für Erfolge:
    0
    AW: fail2ban

    @faissmaik

    maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird

    Wie werden die Fehlversuche z.b. beim 2login gezählt?


    Gibt es ne Möglichkeit die Restzeit der Bandauer herauszufinden, ohne dies selber auszurechen (Zeitpunkt Ban + bantime)?
     
    #5
  7. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    zu 1) sobald der filter zutrifft wird gezählt.. dh einer logged sind ein - oke... logged sich noch einer mit den gleichen daten ein und produziert einen double-login -> erster retry...

    und zum 2) nein... wozu?
    standardmässig sind 1800sekunden eingestellt also 30min...
    warum willst du ausrechnen wielange noch jmd gebanned is?


    /EDIT: Ich hab das fail2ban.sh Script nochmals aktuallisiert... Jetzt gibts ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
     
    Zuletzt bearbeitet: 4. April 2011
    #6
    ysimmerath gefällt das.
  8. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: fail2ban

    Ich hab bei mir fail2ban über ipc os installiert,
    aber es erscheint immer:

    was könnte das sein?
     
    #7
  9. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    Was hast du denn sonst noch gemacht?
    irgendwelche datein selber angepasst oder so?
    und führst das auch als root aus?


    der führt da nur den befehl /etc/init.d/fail2ban restart aus... dh da gibts nen prob mit

    guck halt mal in dein fail2ban.log
     
    #8
    Satanos666 gefällt das.
  10. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: fail2ban

    das hier ist auffällig im log:

    Code:
    2011-04-09 10:30:36,722 fail2ban.jail   : INFO   Jail 'cccam' stopped
    2011-04-09 10:30:36,740 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
    iptables -F fail2ban-ssh
    iptables -X fail2ban-ssh returned 100
    2011-04-09 10:30:37,722 fail2ban.jail   : INFO   Jail 'ssh' stopped
     
    #9
  11. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    das sagt aber nichts darüber aus wieso /etc/init.d/fail2ban restart nicht funzt... (gib die zeilen mal manuell ein, dann kommt ne detailiertere fehlermeldung)

    hast du denn nun irgendwas selber noch eingestellt oder hast du wirklich ausschlieslich das fail2ban script ausgeführt?

    haste vllt mehrer CCcams laufen als von IPC vorgehesen? (sowas wird nämlich nicht supportet und wird es auch nie...)

    geht denn überhaupt /etc/init.d/fail2ban start ?
     
    #10
  12. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: fail2ban

    da kommt nur das besagte:
    Code:
    Restarting authentication failure monitor: fail2ban failed!
    
    nein, nur das script, aber es war zuvor ipc 10.2 drauf hab dann mit neuer url geupdatet
    nein es läuft nur eine cccam
     
    #11
  13. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    was sagt: /etc/init.d/fail2ban status
    und was kommt denn nun bei: /etc/init.d/fail2ban start ?

    kA was bei dir das Prob sein könnte - ohne mehr infos kann ich das nicht wirklich nachvollziehen - hier funzt es 1a
     
    #12
  14. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: fail2ban

    Status of authentication failure monitor:fail2ban is not running (warning).

    da kommt nichts
     
    #13
  15. feissmaik
    Offline

    feissmaik Elite User

    Registriert:
    21. November 2010
    Beiträge:
    1.666
    Zustimmungen:
    513
    Punkte für Erfolge:
    0
    Ort:
    FarFarAway
    AW: fail2ban

    dann ist das fail2ban kaputt... was natürlich extrem seltsam wäre wenn es gerade erst installiert wurde....dann muss an deinem System allg. was nicht i.O. sein aber kA... soll ich drauf losraten? dann installier lieber komplett neu....
     
    #14
  16. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: fail2ban

    jo und wenn an meinem auto die glühbirne im aschenbecher defekt ist, kauf ich auch immer gleich eine neues KFZ.

    DAnke für deine Hilfe
     
    #15

Diese Seite empfehlen