fail2ban für CCcam installieren

[czutok]

AW: fail2ban für CCcam installieren

ok , jungs und medels , ich bin auch jetzt mit ilegalen user unterwegs die mir langsam auf den sack gehen und ich will sie banen , habe so weit fail2ban instaliert , und configuriert , aber bin mir nicht 100% sicher ob es auch richtig funktioniert

ah so , nutze cccam 2.1.1

hier mal die fail2ban log

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

ergend wie kommen zu viele errors und ich weis nicht ob es auch richtig so ist

wer kann helfen ??

PS.
wie bekomme ich das die fail2ban auch automatisch nach server rebot startet ??

hab server rebot gemacht und 2 dateien wider hergestelt die ich bearbeitet habe und das kommt jetzt heraus

itables -L

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

fail2ban log

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

und es pasiert mehr aber nichts

 

[ysimmerath]

AW: fail2ban für CCcam installieren

Nach welcher Anleitung bist vorgegangen
Anleitung Fail2ban KLICK
poste doch dein fail2ban config und ob du IPC benutzt oder immer selbst eingebauter Script


edit://

Zu deinem Fehler habe das

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

und Hier gefunden und sollte ein Bug sein

 

[czutok]

hab einfach nur instaliert und so wie hier beschriben alles kopiert

fail2ban + cccam

hab nur den CS port angepast und auf 24 stunden umgeschriben ( aus 1800 auf 86400 )

ich nutze Ubuntu 10.4 , kein IPC

PS.
ich glaube das es entlich funktioniert , binn mir aber immer noch nicht 100% sicher

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

was mich noch interesiert ist , wieso da noch so viele errors stehen ??

hab noch ne frage an die fail2ban spezialisten , was heisen die abkürzungen ??


filter = cccam-signature -?????
filter = cccam-command - ?????
filter = cccam-login - ????
filter = cccam-illegal - ????

was ist die beste ban zeit ??
standart ist 1800 = 30 minuten

 

[aragorn]

AW: fail2ban für CCcam installieren

die frage wäre wo du das einsetzt: homeserver oder vps?

poste bitte deine jail.conf sowie die filter dateien..


ansonsten würde ich aber raten die user nicht zu löschen sondern einfach nichts mehr frei zugeben (F: user pass 0 0 0 {0:0:0}) denn dann wird dein cccam nicht mehr mit ständigen verbindungs versuchen belästigt


aber deine frage zu den filtern versteh ich jetzt nicht.. was willst du da wissen?

und die bantime hängt davon ab wie lange du sie sperren willst, wobei mehr als 24h ist i.d.r. übertrieben da die meisten clients eh alle 24h eine neue ip haben..

 

[czutok]

AW: fail2ban für CCcam installieren

das ganze ist auf einem homeserver

wenn ich das eintrage - F: user pass 0 0 0 {0:0:0} , werde ich die clienten NIE los , weil sie sehen werden das der server weiter online ist

das fail2ban funktioniert so weit , es werden klienten gebant für 12 stunden ( hab von 24 auf 12 umgeschriben ) , das ist schon ok - filter = cccam-illegal oder filter = cccam-signature

ein kleines nachteil hat das ganze aber schon - es kommen 10 falsche anfragen - client wird gespert - filter = cccam-command

ich weis ich kann die sperzeit einstellen

es werden aber auch user gespert , die nicht gespert werden solen , und das macht mir ein wenig sorgen

ich lase es erstmal test weise laufen , wenn sich da meine clienten beschweren das sie alles dunkel haben , lösche ich die fail2ban und werde einfach neue dyndns und cs port machen

blöd ist fail2ban nicht , blos es funktioniert nicht so wie ich es gerne haben will ( warschanlich einstelungs sache )

 

[aragorn]

AW: fail2ban für CCcam installieren

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

und? sie kriegen aber keine karten also kann dir das doch egal sein? hauptsache dein cccam wird nicht jedesmal, sobald die clients ne neue ip haben, belastet indem die sich 3x versuchen zu verbinden bevor fail2ban reagiert.. denn wenn das mehr als nur eine handvoll clients sind kann dadurch cccam crashen

wenn der client blöd is und sich zum beispiel alle 10min neu einwählt weil er denkt dadurch wieder karten von dir kriegen zu können, kann er sich trotz fail2ban's alle 10min neu anmelden und nervt somit ständig dein cccam..
wenn du aber einfach nur zwar die F-line stehen lässt aber keinerlei karten freigibst, bleibt der client connectet bis er sein 24h disconnect hat..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

oben gab es aber doch fehlermeldungen? return 100 bedeutet eigentlich das es ein fehler bei der anwendung der iptables zeile gab..

signature ist aber auch überflüssig, wenn du mal aufs cccam log achtest kommt sowohl bei "illegal" als auch bei "bad command" oder "login" anschliesend eine "siganture" ausgabe..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

das kann nicht sein denn der "command" filter reagiert nur auf log einträge die "bad command" beinhalten.. also entweder deine clients verursachen jedesmal auch ein "bad command" oder du hast an den filtern herrum gespielt..

ansonsten, wenn du das nicht brauchst dann entfern halt den "command" filter?

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

ohne genauere details kann ich dazu nichts sagen..
du könntest aber vielleicht versuchen die user zur ignoreregex zeile hinzuzufügen..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

das is ne reine einstellungs sache passend für deine situation aber ohne genauere details zu kennen, möchte ich da nicht gross ausholen und ein roman drüber schreiben wenn dann eh nurn bruchteil für dich interessant wär, aber welcher das ist kann ich nicht beurteilen zumal ich deine situation und konfiguration nicht kenne..

 

[Sumatrabarbe]

AW: fail2ban für CCcam installieren

Hallo,

habe mir das f2b jetzt auch mal für oscam/cccam eingerichtet. Eine Frage habe ich dazu aber noch... Wenn ich in der oscam.conf als logfile /var/log/oscam.log angegeben habe, muss ich das in der jail.conf für die [cccam-...] Filter auch einstellen, oder landen diese cccam errors unter syslog, so wie in den Beispielen weiter oben? Und muss ich ein bestimmtes Debug-lvl in oscam einstellen?

 

[aragorn]

AW: fail2ban für CCcam installieren

wie du an deiner frage merken solltest, möchtest du für oscam die [cccam] jail einträge anpassen.. du würfelst es also fatalerweise wild durcheinander

für oscam brauch man kein fail2ban da oscam ein eigenes feature dafür hat: failban

nur die jail einträge anzupassen reicht natürlich nicht, fail2ban durchsucht das logfile nach den einträgen wie sie im filter eingestellt wird..

 

[Sumatrabarbe]

AW: fail2ban für CCcam installieren

ahhh ok.. also für oscam das interne failban nutzen.. danke für die info!

 

[czutok]

AW: fail2ban für CCcam installieren

ist es möglich die jail so zu bearbeiten das ich manuel vorgeben kann wer bei erstem kontakt sofort geblokt werden soll

wenn ich fail2ban einschalte funktioniert es auch , es blokt die user für die eingestelte zeit , aber das problem ligt daran das es auch die user blokt , die nicht geblokt werden solten

bitte an die fail2ban spezialisten:

wie soll der eintrag mit dem USERNAMEN auschauen , der sofort bei erstem kontakt geblokt wird , am besten für immer

das mit der ip ist auch ok , aber wie bereits geschriben , es werden auch user blokiert die nicht blokiert werden sollen

 

[aragorn]

AW: fail2ban für CCcam installieren

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

fail2ban macht nichts selbstständig sondern nur das was du konfiguriert hast..
wie ich dir bereits schonmal versucht habe zu erklären liegt vermutlich dein problem bei der kombination der filter für cccam.. da du eigentlich nur "illegal user" blocken möchtest, solltest du auch nur diesen filter verwenden.. du hast aber soweit ich weiss auch noch "bad command" und "signature failed" eingestellt..

wenn du mal ins cccam log guckst, zu einem zeitpunkt wo jmd gesperrt wurde, müsste dir auffallen das nach einer "bad command" meldung auch ein "siganture failed" kommt. genauso nach einem "illegal user" kommt ebenfalls ein "signature failed" usw..

ausserdem hast du vermutlich clients, die "bad commands" verursachen und aufgrund dessen werden sie dann von fail2ban gesperrt, weil du das eben so eingestellt hast das fail2ban auf diese logeinträge über die filter reagieren soll


nochmal erneut die funktionsweise von fail2ban: in der jail wird ua. eingestellt welches logfile (logpath) fail2ban überwachen soll. über den filter wird eingestellt, was in dem logfile stehen soll auf dass fail2ban dann reagiert..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

wie du anhand der funktionsweise erkennen kannst, durchsucht fail2ban die letzten einträge des eingestellten logfiles, nach den regex zeilen wie sie im filter eingestellt wurden

wie die filter konfiguriert werden können, kann man hier nachlesen:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

regex bedeutet: regular expressions

die regex zeile für den "illegal user" sieht dabei so aus:

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

<HOST> ist hierbei ein platzhalter, darüber wird fail2ban mitgeteilt in welcher spalte der zeile die host steht die es sperren soll..
das " .* " ist wie ein " * " also ein,kein,oder mehrere beliebige zeichen - die zeile matched also sowohl auf "CCcam: illegal user czutok from <HOST>" als auch auf CCcam: illegal user aragorn from <HOST>" usw

aber nun jedesmal in den filter die einzelnen logins ein zu tragen finde ich übertrieben, wer macht das schon..

konfigurier lieber dein fail2ban vernünftig wie ich dir glaub ich schon mehrmals versucht habe zu erklären (hab dir oben auch eine alternative genannt die nicht ständig dein cccam belastet denn trotz fail2ban's wird cccam weiterhin mit den loginversuchen spätestens nach 24h gestört)

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

siehe oben.. von nichts kommt nichts.. wenn du fail2ban vernünftig konfigrierst sperrt fail2ban auch nur die clients die "illegal user" logeinträge verursachen..

 

[czutok]

AW: fail2ban für CCcam installieren

das ist alles was ich eingetragen habe

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

danke dür den link wie man es machen soll , aber linux und englisch sind 2 sachen die ich nicht 100% behersche

 

[aragorn]

AW: fail2ban für CCcam installieren

wie ich bereits mehrmals geschrieben habe und oben auch versucht habe ausführlicher zu beschreiben, hast du viel zu viele filter eingestellt

die clients, die du gelöscht hast verursachen " illegal user " logeinträge

alles andere sorgt dafür das auch nicht-gelöschte user ausgesperrt werden.. da du das aber nicht möchtest, wieso benutzt du dann aber die filter?

 

[czutok]

AW: fail2ban für CCcam installieren

fail2ban log

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

jail.conf.

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

das teil funzt super , blos was sind wider die errors ??
man o man ich werde langsam warnsinig

ich nutze die filte die alle hier eingetragen haben

zeig mir ein anderen dann schmeise ich die weg und werde dann ein einzigen nutzen , hauptsache er spert mir die user die ich da manuel eintrage

 

[aragorn]

AW: fail2ban für CCcam installieren

oh man, das is echt ne schande das so jemand wie du nen "community server" betreibt wenn du nicht mals mit den einfachsten dingen zurecht kommst


darf ich das jetzt noch 5x wiederholen bis du es verstanden hast?



du möchtest dass fail2ban "illegal user" sperrt, korrekt?
du möchtest aber nicht dass fail2ban nicht-gelöschte user sperrt, korrekt? (also user die nicht gelöscht wurden sollen nicht gesperrt werden)


du hast aber _alle_ filter konfiguriert die es für cccam gibt, also nicht nur "illegal user" sondern auch die anderen


wenn du jetzt in dein /var/log/syslog guckst und beobachtest welche user, welche logmeldungen verursachen, sollte dir irgendwann mal auffallen das auch nicht-gelöschte user sowas wie "signature failed" oder "bad command" verursachen.. machen sie das 10x werden sie von fail2ban gesperrt - weil Du das so eingestellt hast

wenn Du das aber nicht möchtest, dann schmeiss den verdammten filter raus!