Hallo zusammen,
leider muss ich nach langer Zeit mal wieder eine kleine Frage an Euch richten.
Ich habe zwar die Suche benutzt, und auch reichlich Threats zu dem Thema gefunden, jedoch kein einzigen mit einer Lösung.
Server Daten:
vServer bei Hosteurope
Debian Lenny 5.0.x
ispcp 1.0.5 (
Ursprung 1.0.3 -> Update auf 1.0.4 -> Update auf 1.0.5)
Problem:
Ich möchte gerne nach folgender Anleitung meinen ispcp Server sicherer machen:
Howto: security: make_ispcp_more_secure
SSH Port ändern und root Login unterbinden ist klar und funktioniert auch.
Nur (fast) alles andere von
Fail2Ban greift nicht bei ispcp 1.0.5 !!!
Kein Apache, FTP, ja nicht mal der SSH Schutz funktioniert.
Habe auf einem anderen System noch ispcp 1.0.0 laufen, dort rennt Fail2Ban mit gleichen einstellungen tadellos.
Liegt es an ispcp 1.0.5 oder fehlt meinem Server noch irgendetwas damit Fail2Ban funktioniert?
Hier ein paar Logs und Einstellungen:
/etc/fail2ban/jail.conf (
nur Teilauszug)
Code:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/users/*access.log
maxretry = 3
[proftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/auth.log
maxretry = 3
# /etc/init.d/fail2ban restart
Nun mach ich absichtlich falsche eingaben:
10 x falsches SSH Passwort auf richtigem Port, da 22 eh nicht geht
10 x falsche FTP Logindaten
10 x falsche Webmail Logindaten
Doch nichts passiert, und in der Log steht nur der Restart drin.
/var/log/fail2ban.log
Code:
2010-05-21 11:41:01,861 fail2ban.jail : INFO Jail 'apache' stopped
2010-05-21 11:41:02,764 fail2ban.jail : INFO Jail 'proftpd' stopped
2010-05-21 11:41:03,745 fail2ban.jail : INFO Jail 'ssh' stopped
2010-05-21 11:41:04,002 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2010-05-21 11:41:04,003 fail2ban.jail : INFO Creating new jail 'ssh'
2010-05-21 11:41:04,003 fail2ban.jail : INFO Jail 'ssh' uses poller
2010-05-21 11:41:04,015 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-05-21 11:41:04,015 fail2ban.filter : INFO Set maxRetry = 3
2010-05-21 11:41:04,016 fail2ban.filter : INFO Set findtime = 600
2010-05-21 11:41:04,016 fail2ban.actions: INFO Set banTime = 600
2010-05-21 11:41:04,081 fail2ban.jail : INFO Creating new jail 'apache'
2010-05-21 11:41:04,081 fail2ban.jail : INFO Jail 'apache' uses poller
2010-05-21 11:41:04,082 fail2ban.filter : INFO Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,083 fail2ban.filter : INFO Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,084 fail2ban.filter : INFO Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,084 fail2ban.filter : INFO Added logfile = /var/log/apache2/users/admin.xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,085 fail2ban.filter : INFO Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,086 fail2ban.filter : INFO Set maxRetry = 3
2010-05-21 11:41:04,087 fail2ban.filter : INFO Set findtime = 600
2010-05-21 11:41:04,088 fail2ban.actions: INFO Set banTime = 600
2010-05-21 11:41:04,096 fail2ban.jail : INFO Creating new jail 'proftpd'
2010-05-21 11:41:04,096 fail2ban.jail : INFO Jail 'proftpd' uses poller
2010-05-21 11:41:04,099 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-05-21 11:41:04,100 fail2ban.filter : INFO Set maxRetry = 3
2010-05-21 11:41:04,100 fail2ban.filter : INFO Set findtime = 600
2010-05-21 11:41:04,101 fail2ban.actions: INFO Set banTime = 600
2010-05-21 11:41:04,112 fail2ban.jail : INFO Jail 'ssh' started
2010-05-21 11:41:04,115 fail2ban.jail : INFO Jail 'apache' started
2010-05-21 11:41:04,117 fail2ban.jail : INFO Jail 'proftpd' started
Was mir merkwürdig vorkommt ist, das sowohl SSH als auch ProFTPd auf ne leere Log zugreifen, denn
/var/log/auth.log ist gänzlich leer.
Hoffe ich habe alle nötigen Info´s zusammengetragen. Benötigt jemand dennoch andere Log-Files oder Info´s zur Kontrolle, einfach kurz melden.
Jemand nen Tip oder gr eine Lösung meines Problems?
Wäre dafür sehr dankbar ...
Wünsche Euch ein schönes langes Wochenende,
Gruß Iron Eagle