fail2ban für CCcam installieren

AW: Howto: fail2ban für CCcam installieren

Hi Leute,
bei mir scheint es zu laufen ...

nur habe ich eine Frage ...

Wie groß kann die fail2ban.log datei werden?

Kann man das begrenzen und ist der ständige Schreibvorgang auf dauer nicht schadhaft für den CF?

also die login anfragen von bereits gebannten usern wiederholen sich ... kann man das noch weiter unterbinden ... oder mache ich was falsch?

AW: Howto: fail2ban für CCcam installieren

Du kannst /var/log zu ner Ramdisk (tmpfs) machen dann wird das in den Arbeitsspeicher geschrieben - nach nem reboot wäre dann halt nur alle logs weg aber so oft rebooted man ja eigentlich eh nich
Siehe dazu -> https://www.digital-eliteboard.com/...-r-kleine-server-zb-thinclients-futro-108898/

und wegen der Logfile grösse kannste dir " logrotate " angucken
-> Link veralten (gelöscht) und

AW: Howto: fail2ban für CCcam installieren

Funzt super alles so wie im Ersten Post geschrieben hab ich es gemacht.

Dank an den Ersteller!!!!

AW: Howto: fail2ban für CCcam installieren

@ramazotti: Um nur "danke" zu sagen, gibts hier extra nen Knopf unten rechts...

AW: Howto: fail2ban für CCcam installieren

...Ich musste vorhin leider feststellen das einer meiner Clients seit ca. 2 Tagen die ganze Zeit "double-logins" fabriziert und heftigst viel Traffic verursacht...
Allerdings benutze ich CCcam 2.1.1 und dort werden die nicht als double-logins im Log ausgegeben, sondern so:


Nun hab ich mir nur deswegen doch mal fail2ban für CCcam eingerichtet und die filter Datei cccam-login.conf angepasst:

AW: Howto: fail2ban für CCcam installieren

...Es würde mich jetzt schon interessieren ab welcher CCcam version es als 'double login' im Log steht - also für welche version hat BaNaNaBeck die filter geschrieben?

Weil wenn hier sehr viele auch CCcam v2.1.1 benutzen, dann wurde bei denen bisher noch nie "double login" beachtet weil es wie gesagt anders gekennzeichnet wird im Log...


Funktioniert *NICHT* mit CCcam 2.1.1
failregex = CCcam: double login .*, .* \(<HOST>\)


Funktioniert mit CCcam 2.1.1
failregex = CCcam: .* already connected, remove stale connection \(<HOST>\)

Re: AW: Howto: fail2ban für CCcam installieren

feissmaik schrieb:

Versuchs mal mit

/etc/fail2ban/jail.conf

Code:

[cccam_[B]sign[/B]]
enabled  = true
port     = 12000
filter   = cccam-[B]sign[/B]
logpath  = /var/log/daemon.log
bantime  = 1800
maxretry = 10

/etc/fail2ban/filter.d/cccam-sign.conf

Code:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#
failregex = CCcam: kick <HOST>, signature failed
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

...die aktuelle iptables Version scheint mit dem target "fail2ban-cccam_signaturefailed" ein Problem zu haben weil es zu viele chars sind (max 29 aber es sind 30)



/EDIT: Für alle die es bereits nach dem 1.Post installiert haben:

ihr braucht nur die Datei cccam-signature.conf umbenennen in cccam-sign.conf -> mv /etc/fail2ban/filter.d/cccam-signature.conf /etc/fail2ban/filter.d/cccam-sign.conf

und in der Datei /etc/fail2ban/jail.conf bennent ihr den Eintrag [cccam_signaturefailed] in [cccam_sign] um

und in der gleichen Datei ändert ihr noch die eine Zeile "filter = cccam-signature" in "filter = cccam-sign"



wobei mir gerade auffällt das man glaub ich nur den einen Eintrag in der jail.conf ändern muss.... [cccam_signaturefailed] in [cccam_sign]
...jetzt bin ich grad selber bissal vewirrt... vllt sollte ich mir doch mal fail2ban anguckn
...also ich glaube dabei is der filter entscheident - danach richtet sich welche datei aus filter.d geladen wird und da steht wiederum drin nach welchem Logeintrag gesucht wird.. der zu lange target-name entsteht durch den chain-name der in der jail.conf eingestellt wurde - also das in den [ ]

...oder verpeil ich das?


/EDIT: Hier die Files die man fürs aktuelle fail2ban brauch...

Zum Vergrößern anklicken....

Hallo bin am verückt werden habe diese config fail2ban startet haber passiert nix es bleibt so stehen!! das ist meine log laut warn.text sind ein paar illegale ip hat jemant noch ei tip für mich?? danke


2011-02-11 06:01:00,414 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2011-02-11 06:01:00,418 fail2ban.jail : INFO Creating new jail 'cccam_doublelogin'
2011-02-11 06:01:00,419 fail2ban.jail : INFO Jail 'cccam_doublelogin' uses poller
2011-02-11 06:01:00,500 fail2ban.filter : INFO Added logfile = /var/log/daemon.log
2011-02-11 06:01:00,504 fail2ban.filter : INFO Set maxRetry = 10
2011-02-11 06:01:00,513 fail2ban.filter : INFO Set findtime = 600
2011-02-11 06:01:00,516 fail2ban.actions: INFO Set banTime = 86400
2011-02-11 06:01:00,550 fail2ban.jail : INFO Creating new jail 'ssh'
2011-02-11 06:01:00,551 fail2ban.jail : INFO Jail 'ssh' uses poller
2011-02-11 06:01:00,557 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2011-02-11 06:01:00,561 fail2ban.filter : INFO Set maxRetry = 6
2011-02-11 06:01:00,570 fail2ban.filter : INFO Set findtime = 600
2011-02-11 06:01:00,573 fail2ban.actions: INFO Set banTime = 86400
2011-02-11 06:01:00,851 fail2ban.jail : INFO Creating new jail 'cccam_sign'
2011-02-11 06:01:00,852 fail2ban.jail : INFO Jail 'cccam_sign' uses poller
2011-02-11 06:01:00,857 fail2ban.filter : INFO Added logfile = /var/log/daemon.log
2011-02-11 06:01:00,862 fail2ban.filter : INFO Set maxRetry = 10
2011-02-11 06:01:00,871 fail2ban.filter : INFO Set findtime = 600
2011-02-11 06:01:00,874 fail2ban.actions: INFO Set banTime = 86400
2011-02-11 06:01:00,910 fail2ban.jail : INFO Jail 'cccam_doublelogin' started
2011-02-11 06:01:00,920 fail2ban.jail : INFO Jail 'ssh' started
2011-02-11 06:01:00,935 fail2ban.jail : INFO Jail 'cccam_sign' started

AW: Howto: fail2ban für CCcam installieren

...Was hat das was du zitiert hast mit deinem Problem zu tun?


Hast du dir mal die filter angeguckt? Da wird in keiner nach "illegal ip" gesucht also gibt es dafür keine fail2ban regelung...

Und bist du auch wirklich sicher das CCcam ins /var/log/daemon.log schreibt?
Bei mir schreibt er nämlich ins syslog bzw debug....

Und poste ma deine warn.txt mit den Einträgen die deiner Meinung nach von fail2ban erkannt werden solln...

AW: Howto: fail2ban für CCcam installieren

Ich hab die Filter nicht selber geschrieben und kann daher deine Frage auch nicht beantworten.

Mfg

Re: AW: Howto: fail2ban für CCcam installieren

hi feissmaik ja das hat mit meinem problem zu tun sorrry kriege nicht am laufen beim ubuntu 9.10 war da kein problem, verstehe nicht wo der fehler liegt ich habe jetz syslog eingetragen muss nur das system neu starten da jetzt fail2ban nicht schreibt und der log nach ich gelöscht habe leer bleibt! werde morgen berichten das ist
mein warn.txt bis morgen

20:21:20.864 Connection from IP: 94.68.77.xx Login Failed!
20:21:24.647 Connection from IP: 93.142.191.xx Login Failed!
20:21:25.424 Connection from IP: 94.68.77.xx Login Failed!
20:21:32.208 Connection from IP: 94.68.77.xx Login Failed!

cam-login.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}?(?P<host>\S+)
# Values: TEXT
#
failregex = CCcam: double login .*, .* \(<HOST>\)
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

cccam-signature.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}?(?P<host>\S+)
# Values: TEXT
#
failregex = CCcam: kick <HOST>, signature failed
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

AW: Howto: fail2ban für CCcam installieren

@alex2010: in failregex steht drin worauf fail2ban zu achten hat im jeweiligen Log - das entspricht jetzt aber nicht "Login Failed"...
Ich weiss jetzt aber auch nicht ob das auch im syslog auftauchen wird... Das musst du dann halt entsprechend anpassen


@BaNaNaBeck: Ja, oke aber hast du die filter für fail2ban auch im Einsatz?
Hier werden doch bestimmt einige mehr die filter benutzen oder etwa doch nicht?

Die Sache ist nämlich die, wenn die filter die du im 1. Post angegeben hast erst ab zb 2.1.4 oder gar erst ab 2.2.x zutreffen weil erst da "double login" ins log geschrieben wird - dann haben alle die ne ältere CCcam version benutzen keinerlei "schutz" vor double-logins...
Diese "double-logins" verursachen aber ne enorme CCcam-Auslastung und auch heftig viel Traffic

Verstehste worauf ich hinaus will?

Re: AW: Howto: fail2ban für CCcam installieren

Hallo guten morgen feissmeik endlich leuft - system neu gestartet im fail2ban log steht jetz !! 2011-02-12 06:02:05,635 fail2ban.actions: WARNING [cccam_signaturefailed] Ban 94.68.77.xx das hat dann mit der eintrag zu tun habe in filter syslog eingentragen wie du gesagt hast, danke dir für deine vorschlag - bis bald schöner wochenende.

Re: AW: Howto: fail2ban für CCcam installieren

hallo ich habe mich mal zu früh gefreut weis nicht was mit dieser version ist!! habe festgestellt dass nur eine ip gebannt würde, laut warn.tx waren zwei illegale user
habe fail2ban gestopt und wieder gestartet jetz schreibt in Log nicht weiter bleibt leer und passiert nichts merkwürdich jetz starte ich das system neu mal schauen was passiert das habe ich mit ubuntu 9.10 nicht gehabt, ich benutze grade ubuntu 10.4.2 lts version ob das der grund ist -( so system grade neu gestartet da bannt nur eine ip habe laut warn.text sind zwei illegale user bin am verzweifeln!!
warum bannt der anderem ip nicht?? eins steht fest um das zu laufen zu bringen!! muss der system beim enderung in fail2ban, neu gestartet werden. hast du noch eine idee?

2011-02-12 09:14:35,311 fail2ban.jail : INFO Jail 'cccam_doublelogin' started
2011-02-12 09:18:17,811 fail2ban.actions: WARNING [cccam_signaturefailed] Ban 94.68.77.xx


2011-02-12 08:43:23,409 fail2ban.jail : INFO Jail 'cccam_signaturefailed' started
2011-02-12 08:43:23,420 fail2ban.jail : INFO Jail 'ssh' started
2011-02-12 08:43:23,434 fail2ban.jail : INFO Jail 'cccam_doublelogin' started
2011-02-12 09:00:09,719 fail2ban.jail : INFO Jail 'cccam_doublelogin' stopped
2011-02-12 09:00:10,721 fail2ban.jail : INFO Jail 'ssh' stopped
2011-02-12 09:00:11,729 fail2ban.jail : INFO J


09:18:14.898 Connection from IP: 93.142.149.xx Login Failed!
09:18:17.540 Connection from IP: 94.68.77.xx Login Failed!

AW: Howto: fail2ban für CCcam installieren

...Wie gesagt, die LOG WARNINGS ist eine andere logdatei und hat mit dem was fail2ban macht zunächst nichts zu tun!

Versteh doch bitte, das fail2ban nach dem was in failregex eingestellt ist, das jeweilige log absucht...
in deiner filter datei steht bei failregex irgendwas mit double login, kick und signature .... Jetzt guck doch mal in der Log die du oben immer wieder postest ob da so eine Zeile überhaupt auftaucht?

Da das nunmal nicht der fall ist - und fail2ban auch garnicht in diesem warnings log nachguckt - kann fail2ban auch nicht auf irgendwas derartiges reagiern.....


So, nun also nochmal ... Bist du sicher das CCcam in /var/log/syslog rein schreibt?
Wenn nicht - wie startest du dein CCcam? (Startparameter sollte nämlich ua. -v sein damit er ins syslog schreibt)

AW: Howto: fail2ban für CCcam installieren

Also 2.2.x ist ausgeschlossen. Diese Versionen kamen zu spät auf den Markt.

Ich benutze 2.1.3 und habe keine Probleme damit.

Wenn du Interesse hast, können wir aber gerne mal die Versionen durchtesten die Tage.


Edit:

google sagt ab Version 2.1.2+