Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

fail2ban

    Nobody is reading this thread right now.
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Reaktionspunkte
513
Punkte
113
Ort
FarFarAway
Eine neue Version des OnlineScripts fail2ban.sh ist jetzt verfügbar...


Bei jedem ausführen des Scripts kann man die einzelnen Filter für
bad command , signature failed , double login , illegal user
ein oder aus schalten


Wechselt man die CCcam Version zb von 2.1.1 auf 2.2.1 so sollte man das fail2ban.sh Script erneut ausführen sodass die Filter entsprechend erneuert werden weil sich das Format (leider) geändert hat

Zum beispiel:
CCcam 2.0.11 -> CCcam: deleting client <HOST>.*, read result -1
CCcam 2.1.1 -> CCcam: deleting client <HOST>.*, bad command
CCcam >2.1.2 -> CCcam: kick <HOST>.*, bad command


/EDIT: Soweit ich es bisher beobachten konnte schreibt CCcam nach "illegal user" auch eine "signature failed" Meldung ins Log, weshalb ich bei mir nun nurnoch "signature failed" an habe da fail2ban ansonsten die gleiche IP 2x ausperrt... (ich nutze aber btw CCcam 2.1.1)
"Bad command" hingegen werden hauptsächlich von den neueren CCcam 2.2.x verursacht und sollten bei Verwendung älterer Server möglichst vermieden werden, ansonsten crasht der CCcam Server evtl. öfter...

...Deshalb gibts jetzt ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
 
Zuletzt bearbeitet:
AW: fail2ban

Wie sollte man die Filter/Skripte am besten setzten? Gibt es da ne Empfehlung? (arbeite das erste mal mit fail2ban)

Und wie kann man testen ob fail2ban richtig arbeitet?
 
AW: fail2ban

'illegal user' und 'signature failed' sind glaub ich fast die gleichen - wenns ne illegal user Meldung im Log gibt, kommt danach meistens auch ne signature failed Meldung (wenns für den Benutzer garkeine F-line gibt)

bad command kommt zb vor wenn du dein Client oft nacheinander neu startest o.ä.

double login kommt wenn du dich mit einem Account zwei oder mehrmals verbinden willst


Das muss aber 10x nacheinander passieren damit fail2ban auch reagiert

Standardmässig ist die Einstellung für alle Filter
maxretry = 10
bantime = 1800 (sekunden, also 1800 / 60 = 30min)

(kann man in der /etc/fail2ban/jail.conf einstellen)



/EDIT: ich habe bei mir nur folgende Filter aktiviert: signature failed , double login , illegal user

bad command kommt bei 2.2.1 clients zb öfter vor und manche meinen auch das da nochn bug drin wär etc
 
Zuletzt bearbeitet:
AW: fail2ban

ich finde bad command sollte man nicht nutzen.

das kommt unter den unterschiedlichen cccam versionen ziemlich oft vor. auch wenn jemand ein nicht cccam client nutzt sollte man bad command nicht nutzen.
 
AW: fail2ban

@faissmaik

maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird

Wie werden die Fehlversuche z.b. beim 2login gezählt?


Gibt es ne Möglichkeit die Restzeit der Bandauer herauszufinden, ohne dies selber auszurechen (Zeitpunkt Ban + bantime)?
 
AW: fail2ban

zu 1) sobald der filter zutrifft wird gezählt.. dh einer logged sind ein - oke... logged sich noch einer mit den gleichen daten ein und produziert einen double-login -> erster retry...

und zum 2) nein... wozu?
standardmässig sind 1800sekunden eingestellt also 30min...
warum willst du ausrechnen wielange noch jmd gebanned is?


/EDIT: Ich hab das fail2ban.sh Script nochmals aktuallisiert... Jetzt gibts ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
 
Zuletzt bearbeitet:
AW: fail2ban

Ich hab bei mir fail2ban über ipc os installiert,
aber es erscheint immer:

Restarting authentication failure monitor: fail2ban failed!
Zum Vergrößern anklicken....

was könnte das sein?
 
AW: fail2ban

Was hast du denn sonst noch gemacht?
irgendwelche datein selber angepasst oder so?
und führst das auch als root aus?


der führt da nur den befehl /etc/init.d/fail2ban restart aus... dh da gibts nen prob mit

guck halt mal in dein fail2ban.log
 
AW: fail2ban

das hier ist auffällig im log:

Code: 
2011-04-09 10:30:36,722 fail2ban.jail   : INFO   Jail 'cccam' stopped
2011-04-09 10:30:36,740 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2011-04-09 10:30:37,722 fail2ban.jail   : INFO   Jail 'ssh' stopped
 
AW: fail2ban

das sagt aber nichts darüber aus wieso /etc/init.d/fail2ban restart nicht funzt... (gib die zeilen mal manuell ein, dann kommt ne detailiertere fehlermeldung)

hast du denn nun irgendwas selber noch eingestellt oder hast du wirklich ausschlieslich das fail2ban script ausgeführt?

haste vllt mehrer CCcams laufen als von IPC vorgehesen? (sowas wird nämlich nicht supportet und wird es auch nie...)

geht denn überhaupt /etc/init.d/fail2ban start ?
 
AW: fail2ban

feissmaik schrieb:
das sagt aber nichts darüber aus wieso /etc/init.d/fail2ban restart nicht funzt... (gib die zeilen mal manuell ein, dann kommt ne detailiertere fehlermeldung)
Zum Vergrößern anklicken....
da kommt nur das besagte:
Code: 
Restarting authentication failure monitor: fail2ban failed!
feissmaik schrieb:
hast du denn nun irgendwas selber noch eingestellt oder hast du wirklich ausschlieslich das fail2ban script ausgeführt?
Zum Vergrößern anklicken....
nein, nur das script, aber es war zuvor ipc 10.2 drauf hab dann mit neuer url geupdatet
feissmaik schrieb:
haste vllt mehrer CCcams laufen als von IPC vorgehesen? (sowas wird nämlich nicht supportet und wird es auch nie...)

geht denn überhaupt /etc/init.d/fail2ban start ?
Zum Vergrößern anklicken....
nein es läuft nur eine cccam
 
AW: fail2ban

was sagt: /etc/init.d/fail2ban status
und was kommt denn nun bei: /etc/init.d/fail2ban start ?

kA was bei dir das Prob sein könnte - ohne mehr infos kann ich das nicht wirklich nachvollziehen - hier funzt es 1a
 
AW: fail2ban

dann ist das fail2ban kaputt... was natürlich extrem seltsam wäre wenn es gerade erst installiert wurde....dann muss an deinem System allg. was nicht i.O. sein aber kA... soll ich drauf losraten? dann installier lieber komplett neu....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

gelöst HD01 Karte wird nicht mehr hell
Antworten
8
Aufrufe
929
D-Rock
CCcam 2.3.2 ARM für Vu4k - Ultimo4k solo4k solo4kse uno4k
15 16 17
Antworten
249
Aufrufe
111K
ultima
B
IPC CS Server
Antworten
14
Aufrufe
4K
Bitmachine
B
D
Pogoplug E02 Bricket
Antworten
8
Aufrufe
2K
joerg_999
N
v 13 wird nicht erkannt. HILFE
2
Antworten
24
Aufrufe
3K
Niggo20
N
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…