Fail2Ban Fehler

[schneider113]

Hallo Gemeinde,
vor langer Zeit hatte ich es mal geschaft, auf dem Raspberry das Fail2ban arbeitet, loggt und eine Mail versendet.
Hab jetzt IPC 11.6 drauf aber leider geht jetzt nichts mehr.
User werden zwar gebant aber weder steht im Log etwas darüber noch schickt er mir eine Mail.
Hat den jemand die Funktion am laufen?
LG

Weder wenn ich mich falsch bei IPC anmelde noch wenn ich ein User deaktiviere und er unter Fail2ban gebannt wird.

 

[Phantom]

Du musst aus dem Oscam Log eine Variable erstellen welche Failban lesen kann. die Variable muss zb. sein fehlerhafte Anmeldung oder gesperrte User. Du musst aber dazu nicht extra Failban installieren. OSccam hat diese Funktion schon integriert und bannt ordentlich. Bei IPC musst du im log schauen wo die fehlerhafte Anmeldung erscheint. Auch diese Variable muss im Failban angegeben werden.

 

[schneider113]

Ok,
mein wunsch is es ja per Mail informiert zu werden wenn z.b. ein Vorfall war.
Hatte sowas schon mal am laufen bekommen.Nur keine Ahnung mehr wie .

 

[Phantom]

Schau mal hier anleitung cccam mit fail2ban und firewallscript Wandle das ganze dann nur auf das OScam um. Dazu schau dir die oscam logs an und passe die config an.

 

[janni1]

Hi,
wurde in der jail.local das Senden der Mail unter "ACTIONS" zb. mit
"action = %(action_mw)s" aktiviert?

Sie müssen registriert sein, um Links zu sehen.

 

[jensebub]

sorry @janni1 , typo.

action = %(action_mwl)s

Gruß
jensebub

 

[janni1]

Hi,
@jensebub
nix typo

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

action_mw, ban & send an e-mail with whois report to the destemail.
action_mwl, ban & send an e-mail with whois report and relevant log lines

Man kann sich auch eigene shortcuts basteln. Parameter und Beispiele findet man ebenfalls in der jail.local.

 

[jensebub]

ok, zu vorschnell, ABER mit log ist doch die bessere Wahl

Gruß
jensebub

 

[schneider113]

ja hab ich

 

[schneider113]

Hallo,
hab jetzt mochmal exim4 installiert und konfig.
bei der jail.conf als mta mail eingegebn und fail2ban neustart ausgeführt.
Jetzt verschickt er die Mail mit Inhalt: ssh stated , ipc_login startet - juhu
Wie kann ich ihm jetzt sagen das wenn ein failban im webinf auftritt er mir eine Mail schickt?
IPC login Ban wertet er jetzt im Fail2ban aus uns schickt mir eine Mail.

OK er log es in der syslog als

Spoiler: log

• 2017/11/10 15:12:00 xxxx c (client) encrypted cccam-client IP rejected (disabled account)
• 2017/11/10 15:12:00 xxxx c (cccam) password for 'user' invalid!

wie bringe ich jetzt fail2ban dazu mir das als mail zu schicken?

Sprich ich möchte eine Mail bekommen wenn in der syslog "(disabled account)" erscheint.

Wie hier beschrieben HowTo - fail2ban für CCcam installieren

Meine Oscam.conf

Spoiler: oscam.conf

[global]
disablelog = 1
logfile = syslog
nice = 5
maxlogsize = 20
waitforcards = 0
failbantime = 600
failbancount = 4

[cache]

[cccam]
port = 0815
nodeid = xxxxxxxxxxxxxxxxxxxx
version = 2.1.1
reshare_mode = 0
ignorereshare = 0
recv_timeout = 4000
reshare = 0

[monitor]
port = 988
aulow = 120
monlevel = 4
hideclient_to = 20

[webif]
httpport = 081555
httpuser = user
httppwd = pass
httpcss = /var/etc/skin-colorbutton.css
httphelplang = de
httprefresh = 5
httphideidleclients = 1
httpallowed = 192.168.0.1-192.168.0.202,19.35.3.101
aulow = 120
hideclient_to = 20

lg

 

[wylly31]

Hallo Leute. Gibt es eine Möglichkeit den normalen Oscam Failban zu loggen? Also immer wenn sich dort drin was tut dies in einem Log zu schreiben? Und noch eine Frage. Gibt es die Möglichkeit über Iptables eine bestimmte IP zu sperren?

LG

 

[Alex]

Hier ging es um fail3ban und nicht um das Failban von OScam, von dem her knapp daneben. Normal sollte das über das normale Log geloggt werden. Ein extra Log ist zumindest nicht vorgesehen

Aber ne IP sperren ist einfach:

iptables -A INPUT -s 1.2.3.4 -j DROP