1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Problem mit fail2ban....

Dieses Thema im Forum "Archiv" wurde erstellt von pluto60, 25. Juli 2011.

  1. pluto60
    Offline

    pluto60 Ist oft hier

    Registriert:
    19. Oktober 2009
    Beiträge:
    183
    Zustimmungen:
    36
    Punkte für Erfolge:
    28
    nach dem man mir hier mit meinem letztem problem so super geholfen hat, habe ich nächstes anliegen.
    ich habe auf meinem Futro 400 Ubuntu 10.4 laufen.
    so weit so gut läuft alles bestens bis auf fail2ban.

    instaliert habe ich es nach der anleitung aus diesem forum.... s.o.

    die einstellungen in jail.conf sehen so aus:
    PHP:
    [cccam_sign]

    enabled true
    port 
    1xxxx
    filter 
    cccam-signature
    logpath 
    = /var/log/daemon.log
    bantime 
    1800
    maxretry 
    10

    [cccam_badcommand]

    enabled true
    port 
    1xxxx
    filter 
    cccam-command
    logpath 
    = /var/log/daemon.log
    bantime 
    1800
    maxretry 
    10

    [cccam_doublelogin]

    enabled true
    port 
    1xxxx
    filter 
    cccam-login
    logpath 
    = /var/log/daemon.log
    bantime 
    1800
    maxretry 
    10

    [cccam_illegal

    enabled true 
    port 
    1xxxx
    filter 
    cccam-illegal 
    logpath 
    = /var/log/syslog 
    bantime 
    1800 
    maxretry 
    10

    die filter einstellungen sehen so aus:
    cccam command:

    PHP:
    #          be used for standard IP/hostname matching and is only an alias for
    #          (?:::f{4,6}:)?(?P<host>\S+)
    # Values:  TEXT
    #
    failregex CCcamkick <HOST>.*, bad command
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    #
    ignoreregex =
    cccam-illegal.conf:
    PHP:
    [Definition
    failregex CCcamillegal user .* from <HOST
    ignoreregex =
    cccam-login.conf:
    PHP:
    #          (?:::f{4,6}:)?(?P<host>\S+)
    # Values:  TEXT
    #
    failregex CCcamdouble login .*, .* \(<HOST>\)
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    #
    ignoreregex =
    cccam-sign.conf:
    PHP:
    [Definition
    failregex CCcamkick <HOST>, signature failed
    ignoreregex 
    =
    wenn ich jetzt im var/log/fail2ban nachschaue was los ist, sehe ich folgendes:
    PHP:
    2011-07-24 23:10:50,463 fail2ban.jail   INFO   Jail 'cccam_badcommand' started
    2011
    -07-24 23:10:50,474 fail2ban.jail   INFO   Jail 'cccam_doublelogin' started
    2011
    -07-24 23:10:50,493 fail2ban.jail   INFO   Jail 'ssh' started
    2011
    -07-24 23:10:50,522 fail2ban.jail   INFO   Jail 'cccam_sign' started
    2011
    -07-24 23:10:50,552 fail2ban.jail   INFO   Jail 'cccam_illegal' started
    aber der daemon log. ist leer.also gehe ich davon aus dass fail2ban nicht läuft.
    gebe ich über putty befehl..../etc/init.d/fail2ban status ein bekomme ich angezeigt....
    Status of authentication failure monitor
    fail2ban is running

    das wäre schön, aber wenn ich in der CCcam conf.
    LOG WARNINGS : /tmp/warnings.txt einschalte und logen lasse, sehe ich zwei IP`s die sich ständig versuchen zu connecten....also greift fail2ban nicht ein.

    leute ich bin schon das ganze WE am lesen und habe fast viereckige augen aber ich komme nicht weiter.
    wer hat eine idee, wo der hund begraben ist?
    bevor ich mir das ganze system "zerkloppe" frage ich lieber hier die linux profis um rat........

    danke schon mal voraus....pluto60
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Problem mit fail2ban....

    wenn du nach /tmp/warnings.txt loggen läst bringt das nicht viel wenn fail2ban auf /var/log/daemon.log lauschen läst

    entweder den pfad logpath = /var/log/daemon.log ändern in /tmp/warnings.txt
    oder in cccam cfg das loggen nach /var/log/daemon.log abändern
     
    #2
    pluto60 gefällt das.
  4. pluto60
    Offline

    pluto60 Ist oft hier

    Registriert:
    19. Oktober 2009
    Beiträge:
    183
    Zustimmungen:
    36
    Punkte für Erfolge:
    28
    AW: Problem mit fail2ban....

    danke für deine antwort, aber weder das eine
    noch das andere
    hat was gebracht.
    d.h. ändere ich in der jail.confg den pfad nach tmp...usw., dann wird kein warnings.txt erstellt.
    das selbe pasiert wenn ich in der Cccam conf. den pfad nach /var/log/daemon.log ändere, bleibt der log ordner bei größe " 0 " ....also wird nix geschrieben/gelogt.
    der fehler muss irgendwo in der jail oder fail2ban conf. liegen - ist nur meine vermutung - nur wo?

    mfg pluto60
     
    #3
  5. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Problem mit fail2ban....

    was soll fail2ban denn überwachen wenn cccam nicht ins richtige verzeichnis loggt
    und ob fail2ban läuft sieht man unter /var/log/fail2ban
     
    #4
    pluto60 gefällt das.
  6. pluto60
    Offline

    pluto60 Ist oft hier

    Registriert:
    19. Oktober 2009
    Beiträge:
    183
    Zustimmungen:
    36
    Punkte für Erfolge:
    28
    AW: Problem mit fail2ban....

    so...jetzt habe ich in var/etc/Cccam.cfg die zeile abgeändert auf:
    PHP:
    LOG WARNINGS : /var/log/daemon.log
    daraufhin habe ich fail2ban restartet und über putty gebe ich
    PHP:
    /etc/init.d/fail2ban status
    ein und bekomme als antwort
    PHP:
    Status of autentication failure monitor
    fail2ban ist running
    wenn ich jetzt im /var/log/daemon.log nachprüfen will was gelogt wurde, sehe ich leeren ordner !!

    1; soll ich statt nur fail2ban restarten das ganze system neu booten lassen?
    2; soll ich fail2ban wieder deinstalieren und dann komplett neu instalieren, oder ist es nicht notwendig?

    auf dem server läuft nicht, wie ich angenomen habe Ubuntu 10.4 sondern Ubuntu 10.10......ich weiß nicht ob es so wichtig ist,aber ich schreibs trotzdem hier auf.

    sorry wenn ich dich nerven sollte, aber was linux server betrifft ist für mich alles "neuland" und ich komme einfach nicht weiter, deswegen bin ich für jeden rat/hilfe dankbar.

    mfg pluto60
     
    #5
  7. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Problem mit fail2ban....

    ok mal anders gefragt hast du es selber installiert oder ipc oder ähnliches installiert

    wenn ipc dann sollte es unter /var/log/ipc alles geben was du brauchst zum loggen oder schau mal unter /var/log/syslog irgendwohin logt cccam ja außer es ist komplett ausgeschaltet was normal aber nicht der fall ist
     
    #6
    pluto60 gefällt das.
  8. pluto60
    Offline

    pluto60 Ist oft hier

    Registriert:
    19. Oktober 2009
    Beiträge:
    183
    Zustimmungen:
    36
    Punkte für Erfolge:
    28
    AW: Problem mit fail2ban....

    so....mittlleweile läuft der daemon log schön voll.warum erst jetzt...hm keine ahnung. ich kam aus dem urlaub zurück und habe die option in CCcam cfg. wieder eingeschaltet. und siehe da......es funktioniert.

    im fail2ban log. ist sieht der letzter eintrag so aus:
    PHP:
    2011-08-07 01:14:46,278 fail2ban.filter INFO   Set maxRetry 10
    2011
    -08-07 01:14:46,283 fail2ban.filter INFO   Set findtime 600
    2011
    -08-07 01:14:46,285 fail2ban.actionsINFO   Set banTime 1800
    2011
    -08-07 01:14:46,311 fail2ban.jail   INFO   Jail 'cccam_badcommand' started
    2011
    -08-07 01:14:46,322 fail2ban.jail   INFO   Jail 'cccam_doublelogin' started
    2011
    -08-07 01:14:46,338 fail2ban.jail   INFO   Jail 'ssh' started
    2011
    -08-07 01:14:46,359 fail2ban.jail   INFO   Jail 'cccam_sign' started
    2011
    -08-07 01:14:46,394 fail2ban.jail   INFO   Jail 'cccam_illegal' started
    aber im daemon log sehe ich insgesamt drei IP`s die sich versuchen zu connecten.
    zwei IP´s versuchen es einmal in der stunde, aber eine IP drei mal in der minute.......und das möchte ich unterbinden.

    im /var/log/syslog sieht der letzter eintrag so aus:
    PHP:
    Aug  7 02:24:44 Card-Server kernel: [1135074.002095out of order segmentrcv_next 418E3C6B seq 418E4626 418E4BC6
    Aug  7 02
    :24:44 Card-Server kernel: [1135074.524079ofo requeuing rcv_next 418E4086 seq 418E4086 418E4626
    Aug  7 02
    :24:44 Card-Server kernel: [1135074.524098ofo requeuing rcv_next 418E4626 seq 418E4626 418E4BC6
    Aug  7 02
    :25:11 Card-Server kernel: [1135101.348958out of order segmentrcv_next C679DA7C seq C679DA84 C679DAB4
    Aug  7 02
    :25:11 Card-Server kernel: [1135101.516763ofo requeuing rcv_next C679DA84 seq C679DA84 C679DAB4
    Aug  7 02
    :25:15 Card-Server kernel: [1135104.703854out of order segmentrcv_next 641DBA74 seq 641DBA7C 641DC01C
    Aug  7 02
    :25:15 Card-Server kernel: [1135104.949655ofo requeuing rcv_next 641DBA7C seq 641DBA7C 641DC01C
    sorry..aber das sind für mich spanische dörfe.....

    kannst du damit was anfangen?
    ich habe das gefühl, dass der fail2ban die IP´s überhaupt nicht filtert bzw. blockt..

    mfg pluto60
     
    #7
  9. RoterBaron
    Offline

    RoterBaron Stamm User

    Registriert:
    18. Mai 2011
    Beiträge:
    1.160
    Zustimmungen:
    478
    Punkte für Erfolge:
    0
    AW: Problem mit fail2ban....

    fail2ban hat nichts mit /var/log/daemon.log zu tun!

    in fail2ban stellst du ein welches Log überwacht werden soll für die Filter
    wird nichts ins daemon.log rein geschrieben so liegt das an der jeweiligen rsyslog Konfiguration aber nicht an fail2ban!
    Es muss auch nicht zwangsläufig daemon.log sein - wenn man IPC installiert und daran nichts verändert, wird CCcam mit dem startparameter " -v " gestartet was soviel bedeutet wie "gib alles detailiert ins syslog aus" also -> "verbose" und unter Debian ist standardmässig so das diese Detailierten Ausgaben von CCcam gleich in 3 veschiedene Systemlogs geschrieben werden: /var/log/daemon.log , /var/log/debug und /var/log/syslog
    Wenn also in daemon.log nichts ankommt, dann guck mal in die anderen beiden - zumindest im syslog müsste was von CCcam ankommt worauf die fail2ban-Filter reagieren können...

    LOG WARNINGS hat mit dem ganzen fail2ban kram eigentlich auch nichts zu tun - wie der name schon sagt werden dadurch nur Warnungen geloggt, eben fehlerhafter logins aber eben nicht alle Meldungen auf die fail2ban laut Filter reagieren soll

    In der CCcam.cfg gibt es dazu auch keine Einstellung - ob CCcam seine Meldungen ins syslog schreibt oder nicht wird einzig über das Startparameter geregelt - haste daran nichts geändert, so wird es wenn dann eine Sache von /etc/rsyslog.conf sein ob diese Art von Informationen ins daemon.log geschrieben werden sollen oder eben nicht.....



    @benbensimpson: Wenn du das nächste mal helfen willst dann lies dich vllt vorher selber drüber schlau und sonst überlass es jmdn der weiss wovon er da spricht.... das was du hier leider verzapft hast is von vorne bis hinten bullshit





    PS: Wieso nimmst du Ubuntu für IPC? das ding heisst nicht grundlos "Debian-IPC"
     
    #8

Diese Seite empfehlen