• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Gibst irgendwo n vernünftiges Howto für fail2ban?

R

rethus

Advanced Hacker
ich versuche meinen Webserver etwas gegen die ganzen Atacken via Apache zu schützen. Dabei bin ich auf fail2ban gestoßen.

Nun möchte ich, das fail2ban die error_log und access_log des Webservers durchforstet, und bei Einbruchs und Hacker-Versuchen via IPTABLES die IP für 10 Minuten aussperrt.

Ich such das Internet auf und ab, aber ich finde nirgends ein zufriedenstellendes Howto, wie man fail2ban in Verbindung mit IPTABLES vernünftig einrichtet.

Alle Howtos schreiben nur fertige Lösungen hin, nicht wie der IPTABLES-funktionsaufruf aufgebaut sein muss, welche Platzhalter es in fail2ban gibt usw.

Hat jemand einen Tipp für mich, wie ich das machen kann bzw. wo man brauchbare Infos findet?
 
W

whois

Ultimate Guru
Hi rethus

Was hast du denn schon gelesen.
Zeig uns doch mal die Links dann brauch ich meine eventuell nicht zu posten.

http://linuxwiki.de/Fail2Ban
http://www.fail2ban.org/wiki/index.php/FAQ_german
http://linuxwiki.de/Fail2Ban
http://www.fail2ban.org/wiki/index.php/Links

cu
 
OP
R

rethus

Advanced Hacker
Also ich bin schon seit 3 Stunden bei Google unterwegs, und habe auch sämtliches von der Herstellerseite (http://www.fail2ban.org/wiki/index.php/Main_Page) gelesen.
Ich komm nicht so recht weiter...

Jetzt hab ich es hinbekommen, das fail2ban anschlägt, wenn ich beispielsweise 6x nen falschen Link für eine überwachte Internetseite eingebe (ich lasse die access_log überwachen).

jetzt scheint aber der Befehl nicht richtig u sein, der bei IPTABLES die IP sperrt.

Also hier die Meldung aus fail2ban.log:
2008-03-20 16:14:22,576 fail2ban.actions.action: INFO Set actionUnban =
2008-03-20 16:14:22,577 fail2ban.actions.action: INFO Set actionCheck =
2008-03-20 16:14:22,618 fail2ban.actions.action: ERROR iptables -N fail2ban-ApacheErrorLog
iptables -A fail2ban-ApacheErrorLog -j RETURN
iptables -I INPUT -p http -m multiport --dports ssh -j fail2ban-ApacheErrorLog returned 200
Zum Vergrößern anklicken....

Und hier meine Einstellung in /etc/fail2ban/jail.conf:
Code: 
[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           sendmail-buffered[name=BadBots, lines=5, dest=you@mail.de]
#logpath  = /var/www/*/logs/access_log
logpath  = /var/www/vhosts/*/statistics/logs/access_log
bantime  = 172800
maxretry = 1

# Use shorewall instead of iptables.

[apache-iptables]

enabled  = true
filter   = apache-access
action   = iptables-multiport[name=ApacheErrorLog, protocol=http,https]
           sendmail[name=Postfix, dest=you@mail.de]
logpath  = /var/log/apache2/access_log

und in /etc/fail2mail/filterd/apache_access.conf:
Code: 
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 658 $
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#
#failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): .*(\.php|\.asp|\.exe|\.pl)
failregex = ^<HOST> -.*"CONNECT .*"$
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Kann mir da jemand helfen?
 
W

whois

Ultimate Guru
Hi

Vielleicht bringt dich das weiter.

http://www.howtoforge.de/howto/verhindern-von-brute-force-attacken-mit-fail2ban-auf-opensuse-103/
http://serversupportforum.de/forum/security/13766-probleme-mit-fail2ban.html


cu
 
OP
R

rethus

Advanced Hacker
Das hab ich auch schon gelesen, ist mehr ne Info, wie man den Spaß installiert. Genaue Beschreibung, wie man die einzelnen Filterregeln erstellt ist weitgehend Fehlanzeige... nirgends was vernünftiges zu finden.
 
OP
R

rethus

Advanced Hacker
Hab endlich was brauchbares gefunden: http://blog.256bit.org/archives/383-fail2ban-und-der-Kampf-gegen-Trackback-Spam.html
und noch einer:
http://www.pc-professionell.de/praxis/security/article200708240188.aspx
 
savenius

savenius

Member
Hallo rethus,

ich weiß dieser thread ist schon lange her, aber ich habe auch ein Problem mit fail2ban bezüglich owncloud. Habe owncloud auf meinem Server laufen und möchte auch ein bißchen meine Sicherheit erhöhen. Fail2ban läuft bei mir und schaut auch richtig in owncloud.log nach.
Das Problem ist, dass fail2ban nicht die funktioniert wenn ich mich mehrmals falsch anmelde. Dafür habe ich im fail2ban.log diesen Eintrag:

Code: 
2014-10-04 13:19:01,992 fail2ban.actions[1674]: WARNING [owncloud] Ban xxx.xxx.xxx.xxx
2014-10-04 13:19:02,012 fail2ban.actions.action[1674]: ERROR   iptables -I fail2ban-owncloud 1 -s xxx.xxx.xxx.xxx -j REJECT - reject-with icmp-port-unreachable returned 200
2014-10-04 13:49:02,315 fail2ban.actions[1674]: WARNING [owncloud] Unban xxx.xxx.xxx.xxx
2014-10-04 13:49:02,339 fail2ban.actions.action[1674]: ERROR   iptables -D fail2ban-owncloud -s xxx.xxx.xxx.xxx -j REJECT - reject-with icmp-port-unreachable returned 200

Dabei sieht meine jail.conf so aus:

Code: 
[owncloud]
enabled = true
filter = owncloud
action = iptables-multiport[blocktype="REJECT - reject-with icmp-port-unreachable", name="owncloud", port="443", protocol="tcp", chain="INPUT"]
logpath = /srv/www/htdocs/owncloud/data/owncloud.log
maxretry = 3
bantime =  1800

Ich habe viel Zeit verbracht etwas zum Thema zu finden, was die Fehlermeldung angeht. Mir geht aber so langsam das Latein aus ;) .

Bist Du mit deinem Problem weitergekommen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben