Threaded Mode | Linear Mode

Iron73 · 05-21-2010 08:15 PM

Hallo zusammen,
leider muss ich nach langer Zeit mal wieder eine kleine Frage an Euch richten. Sad

Ich habe zwar die Suche benutzt, und auch reichlich Threats zu dem Thema gefunden, jedoch kein einzigen mit einer Lösung.

Server Daten:
vServer bei Hosteurope
Debian Lenny 5.0.x
ispcp 1.0.5 (Ursprung 1.0.3 -> Update auf 1.0.4 -> Update auf 1.0.5)

Problem:
Ich möchte gerne nach folgender Anleitung meinen ispcp Server sicherer machen:

Howto: security: make_ispcp_more_secure

SSH Port ändern und root Login unterbinden ist klar und funktioniert auch.
Nur (fast) alles andere von Fail2Ban greift nicht bei ispcp 1.0.5 !!!

Kein Apache, FTP, ja nicht mal der SSH Schutz funktioniert.

Habe auf einem anderen System noch ispcp 1.0.0 laufen, dort rennt Fail2Ban mit gleichen einstellungen tadellos.

Liegt es an ispcp 1.0.5 oder fehlt meinem Server noch irgendetwas damit Fail2Ban funktioniert?

Hier ein paar Logs und Einstellungen:

/etc/fail2ban/jail.conf (nur Teilauszug)

Code:

[ssh]

enabled = true

port    = ssh

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 3

[apache]

enabled = true

port    = http,https

filter  = apache-auth

logpath = /var/log/apache2/users/*access.log

maxretry = 3

[proftpd]

enabled  = true

port     = ftp,ftp-data,ftps,ftps-data

filter   = proftpd

logpath  = /var/log/auth.log

maxretry = 3

# /etc/init.d/fail2ban restart

Nun mach ich absichtlich falsche eingaben:

10 x falsches SSH Passwort auf richtigem Port, da 22 eh nicht geht
10 x falsche FTP Logindaten
10 x falsche Webmail Logindaten

Doch nichts passiert, und in der Log steht nur der Restart drin.

/var/log/fail2ban.log

Code:

2010-05-21 11:41:01,861 fail2ban.jail   : INFO   Jail 'apache' stopped

2010-05-21 11:41:02,764 fail2ban.jail   : INFO   Jail 'proftpd' stopped

2010-05-21 11:41:03,745 fail2ban.jail   : INFO   Jail 'ssh' stopped

2010-05-21 11:41:04,002 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3

2010-05-21 11:41:04,003 fail2ban.jail   : INFO   Creating new jail 'ssh'

2010-05-21 11:41:04,003 fail2ban.jail   : INFO   Jail 'ssh' uses poller

2010-05-21 11:41:04,015 fail2ban.filter : INFO   Added logfile = /var/log/auth.log

2010-05-21 11:41:04,015 fail2ban.filter : INFO   Set maxRetry = 3

2010-05-21 11:41:04,016 fail2ban.filter : INFO   Set findtime = 600

2010-05-21 11:41:04,016 fail2ban.actions: INFO   Set banTime = 600

2010-05-21 11:41:04,081 fail2ban.jail   : INFO   Creating new jail 'apache'

2010-05-21 11:41:04,081 fail2ban.jail   : INFO   Jail 'apache' uses poller

2010-05-21 11:41:04,082 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log

2010-05-21 11:41:04,083 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log

2010-05-21 11:41:04,084 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log

2010-05-21 11:41:04,084 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/admin.xxxxxxxxxx.de-access.log

2010-05-21 11:41:04,085 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log

2010-05-21 11:41:04,086 fail2ban.filter : INFO   Set maxRetry = 3

2010-05-21 11:41:04,087 fail2ban.filter : INFO   Set findtime = 600

2010-05-21 11:41:04,088 fail2ban.actions: INFO   Set banTime = 600

2010-05-21 11:41:04,096 fail2ban.jail   : INFO   Creating new jail 'proftpd'

2010-05-21 11:41:04,096 fail2ban.jail   : INFO   Jail 'proftpd' uses poller

2010-05-21 11:41:04,099 fail2ban.filter : INFO   Added logfile = /var/log/auth.log

2010-05-21 11:41:04,100 fail2ban.filter : INFO   Set maxRetry = 3

2010-05-21 11:41:04,100 fail2ban.filter : INFO   Set findtime = 600

2010-05-21 11:41:04,101 fail2ban.actions: INFO   Set banTime = 600

2010-05-21 11:41:04,112 fail2ban.jail   : INFO   Jail 'ssh' started

2010-05-21 11:41:04,115 fail2ban.jail   : INFO   Jail 'apache' started

2010-05-21 11:41:04,117 fail2ban.jail   : INFO   Jail 'proftpd' started

Was mir merkwürdig vorkommt ist, das sowohl SSH als auch ProFTPd auf ne leere Log zugreifen, denn /var/log/auth.log ist gänzlich leer. Sad

Hoffe ich habe alle nötigen Info´s zusammengetragen. Benötigt jemand dennoch andere Log-Files oder Info´s zur Kontrolle, einfach kurz melden.

Jemand nen Tip oder gr eine Lösung meines Problems?
Wäre dafür sehr dankbar ...

Wünsche Euch ein schönes langes Wochenende,
Gruß Iron Eagle

**joximu** · 05-21-2010 08:21 PM

[ssh]
port = ssh

da muss dann wohl der neue/geänderte Port rein...

/J

dcreation · 05-21-2010 08:27 PM

Dine Auth-Log sollte nicht leer sein. Zumindest ssh Verbindungen werden dort gehalten. Kontrolliere deine Einstellungen zu rsyslog.

Iron73 · 05-21-2010 08:32 PM

(05-21-2010 08:21 PM)joximu Wrote: [ssh]
port = ssh

da muss dann wohl der neue/geänderte Port rein...

Ja leuchtet mir ein, ssh interpretiert er in 22 der ja nicht mehr geht.

Habs geändert, aber Problem ist alles beim alten.
Kann per SSH jetzt 6 mal probieren, dann bricht er zwar ab mit:

Code:

Server sent disconnect message

type 2 (protocol error):

"Too many authentication failures for Username"

Aber einfach neue Putty-Verbindung öffnen und weiter tryen, ich werde nicht gebannt, und es wird auch nichts Protokoliert von Fail2Ban ... Sad

(05-21-2010 08:27 PM)dcreation Wrote: Dine Auth-Log sollte nicht leer sein. Zumindest ssh Verbindungen werden dort gehalten. Kontrolliere deine Einstellungen zu rsyslog.

Alles Debian 5.0 Lenny Installations-Standart + ispcp Updates von 1.0.3 -> 1.0.4 -> 1.0.5, hab nirgends irgendwelche Änderungen an Pfade zu Logs oder so vorgenommen !!!

Logs zu SSH Verbindungen hab ich hier gefunden:

/var/logauth.log

Code:

May 21 12:45:18 srv01 sshd[19985]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=p508eae4a.dip.t-dialin.net  user=USERNAME

May 21 12:45:19 srv01 sshd[19985]: Failed password for USERNAME from 80.142.xxx.xxx port 50575 ssh2

May 21 12:45:22 srv01 sshd[19985]: Failed password for USERNAME from 80.142.xxx.xxx port 50575 ssh2

Sag ich Fail2Ban er soll die Checken, funktionierts aber nach wie vor auch nicht. Darauf war ich auch schon gekommen. Sad

Code:

[ssh]

enabled = true

port    = 12345 (Testport !!!)

filter  = sshd

logpath  = /var/logauth.log

maxretry = 3

Knut · 05-21-2010 09:30 PM

Offtopic: Warum macht Ihr kein Key-Auth. ?

**BeNe** · 05-21-2010 11:01 PM

Also wenn ich das so sehen:

Code:

logpath  = /var/logauth.log

Dann fehlt da ein "/" zwischen log und auth.log

Code:

logpath  = /var/log/auth.log

Greez BeNe

dcreation · 05-21-2010 11:13 PM

Kein Stress, Iron73. Gleich 3 ! find ich sehr unnötig, immer mit der Ruhe.
Das "Too many authentication failures for Username" ist eine Funktion vom openssh und hat nichts mit fail2ban zutun.

Soweit ich weiß verändert ispcp bei der Installation nichts am syslog. Bei Debian ist der Standart-Syslog Daemon rsyslog. Dieser kümmert sich für die meisten Anwendungen um das leiten der Log-Ströme. Statt dich zu beschweren du hättest nichts geändert schau bitte einfach -ob- du in der config datei was entsprechendes findest. Vorher natürlich die config der entsprechenden Dienste checken, ob er da direkt selbst eine File schreibt. (und somit nicht syslog als facility nutzt.)

Iron73 · 05-22-2010 01:47 AM

(05-21-2010 11:01 PM)BeNe Wrote: Also wenn ich das so sehen:

Code:

logpath = /var/logauth.log
Dann fehlt da ein "/" zwischen log und auth.log

Code:

logpath = /var/log/auth.log

Greez BeNe

Hallo BeNe,
da ich in der Datei /etc/ssh/sshd_config keinen Pfad für Logs gefunden habe den ich ändern könnte, bin ich einem anderen Tip von dcreation nachgegangen und habe hoffentlich den richtigen rsyslog ausfindig gemacht.

/etc/syslog.conf

Code:

#  /etc/syslog.conf     Configuration file for syslogd.

#

#                       For more information see syslog.conf(5)

#                       manpage.

#

# First some standard logfiles.  Log by facility.

#

auth,authpriv.*          -/var/logauth.log

*.*;auth,authpriv.none          -/var/log/syslog

#cron.*                  -/var/logcron.log

daemon.*                        -/var/log/daemon.log

kern.*                          -/var/log/kern.log

lpr.*                           -/var/log/lpr.log

mail.*                          -/var/log/mail.log

user.*                          -/var/log/user.log

#

# Logging for the mail system.  Split it up so that

# it is easy to write scripts to parse these files.

#

mail.info                       -/var/log/mail.info

mail.warn                       -/var/log/mail.warn

mail.err                 -/var/logmail.err

Da find ich eine Zeile ...

Code:

auth,authpriv.*          -/var/logauth.log

Das könnte mein Log Ort Problem sein. Aber spielt es wirklich eine Rolle wo die Logs liegen? Ich hatte ja auch in Fail2Ban den zu überprüfenden Pfad ohne Erfolg geändert.

(05-21-2010 11:13 PM)dcreation Wrote: Kein Stress, Iron73. Gleich 3 ! find ich sehr unnötig, immer mit der Ruhe.
Das "Too many authentication failures for Username" ist eine Funktion vom openssh und hat nichts mit fail2ban zutun.

Soweit ich weiß verändert ispcp bei der Installation nichts am syslog. Bei Debian ist der Standart-Syslog Daemon rsyslog. Dieser kümmert sich für die meisten Anwendungen um das leiten der Log-Ströme. Statt dich zu beschweren du hättest nichts geändert schau bitte einfach -ob- du in der config datei was entsprechendes findest. Vorher natürlich die config der entsprechenden Dienste checken, ob er da direkt selbst eine File schreibt. (und somit nicht syslog als facility nutzt.)

Hallo dcreation,
entweder habe ich Deine Nachricht falsch interpretiert, oder Du meinige. ;-)

Ich weiß nicht was Du mit "Gleich 3" unnötig findest. Sad

Ich hab mich nicht beschwert und schieb auch in keinster Weise hier Stress. Ich krieg nur Fail2Ban nicht zum laufen und hatte gedacht evtl. hier von dieser netten Comunity einen Lösungsansatz zu bekommen.

Wünsch euch nach wie vor ein schönes Wochenende,
Gruß Iron Eagle

**joximu** · 05-22-2010 05:05 AM

ich habe:

Code:

auth,authpriv.*                 /var/log/auth.log

*.*;auth,authpriv.none          -/var/log/syslog

#cron.*                         /var/log/cron.log

daemon.*                        -/var/log/daemon.log

Iron73 · 05-22-2010 05:44 AM

(05-22-2010 05:05 AM)joximu Wrote: ich habe:

Code:

auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log

Danke für die Hinweise erstmal an dieser Stelle. ;-)

Wie BeNe schon angedeutet hat liegt da bei mir wohl ein Pfad-Problem vor.
Obwohl ich eine Debian 5.0 Grundinstalltion genommen habe, und einzig und allein ispcp installiert hatte, ist mir leider schleiherhaft warum solche Pfadangaben durcheinander geraten können. Sad

Ich habe nirgends rumgespielt und Einstellungen vorgenommen ...

Jetzt hab ich die

/etc/syslog.conf

Code:

auth,authpriv.*                 /var/log/auth.log

abgeändert, und natürlich den Pfad in Fail2Ban angepaßt

/etc/fail2ban/jail.conf

Code:

[ssh]

enabled = true

port    = 12345 (mein Port aus sshd.conf)

filter  = sshd

logpath  = /var/log/auth.log

maxretry = 3

/etc/init.d/syslogd restart
/etc/init.d/fail2ban restart

Der sshd log jetzt ordnungsgemäß unter /var/log/auth.log

Jedoch greift immer noch keine Fail2Ban Bannung bei falschen eingaben per SSH Logins. Sad

Threaded Mode \| Linear Mode ispcp 1.0.5 + fail2ban Probleme
Author	Message