ispCP - Board - Support
ispcp 1.0.5 + fail2ban Probleme - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: ispcp 1.0.5 + fail2ban Probleme (/thread-10741.html)

Pages: 1 2


ispcp 1.0.5 + fail2ban Probleme - Iron73 - 05-21-2010 08:15 PM

Hallo zusammen,
leider muss ich nach langer Zeit mal wieder eine kleine Frage an Euch richten. Sad

Ich habe zwar die Suche benutzt, und auch reichlich Threats zu dem Thema gefunden, jedoch kein einzigen mit einer Lösung.

Server Daten:
vServer bei Hosteurope
Debian Lenny 5.0.x
ispcp 1.0.5 (Ursprung 1.0.3 -> Update auf 1.0.4 -> Update auf 1.0.5)

Problem:
Ich möchte gerne nach folgender Anleitung meinen ispcp Server sicherer machen:

Howto: security: make_ispcp_more_secure

SSH Port ändern und root Login unterbinden ist klar und funktioniert auch.
Nur (fast) alles andere von Fail2Ban greift nicht bei ispcp 1.0.5 !!!

Kein Apache, FTP, ja nicht mal der SSH Schutz funktioniert.

Habe auf einem anderen System noch ispcp 1.0.0 laufen, dort rennt Fail2Ban mit gleichen einstellungen tadellos.

Liegt es an ispcp 1.0.5 oder fehlt meinem Server noch irgendetwas damit Fail2Ban funktioniert?

Hier ein paar Logs und Einstellungen:

/etc/fail2ban/jail.conf (nur Teilauszug)
Code:
[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3

[apache]
enabled = true
port    = http,https
filter  = apache-auth
logpath = /var/log/apache2/users/*access.log
maxretry = 3

[proftpd]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/auth.log
maxretry = 3

# /etc/init.d/fail2ban restart

Nun mach ich absichtlich falsche eingaben:

10 x falsches SSH Passwort auf richtigem Port, da 22 eh nicht geht
10 x falsche FTP Logindaten
10 x falsche Webmail Logindaten

Doch nichts passiert, und in der Log steht nur der Restart drin.

/var/log/fail2ban.log
Code:
2010-05-21 11:41:01,861 fail2ban.jail   : INFO   Jail 'apache' stopped
2010-05-21 11:41:02,764 fail2ban.jail   : INFO   Jail 'proftpd' stopped
2010-05-21 11:41:03,745 fail2ban.jail   : INFO   Jail 'ssh' stopped
2010-05-21 11:41:04,002 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2010-05-21 11:41:04,003 fail2ban.jail   : INFO   Creating new jail 'ssh'
2010-05-21 11:41:04,003 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2010-05-21 11:41:04,015 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2010-05-21 11:41:04,015 fail2ban.filter : INFO   Set maxRetry = 3
2010-05-21 11:41:04,016 fail2ban.filter : INFO   Set findtime = 600
2010-05-21 11:41:04,016 fail2ban.actions: INFO   Set banTime = 600
2010-05-21 11:41:04,081 fail2ban.jail   : INFO   Creating new jail 'apache'
2010-05-21 11:41:04,081 fail2ban.jail   : INFO   Jail 'apache' uses poller
2010-05-21 11:41:04,082 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,083 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,084 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,084 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/admin.xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,085 fail2ban.filter : INFO   Added logfile = /var/log/apache2/users/xxxxxxxxxx.de-access.log
2010-05-21 11:41:04,086 fail2ban.filter : INFO   Set maxRetry = 3
2010-05-21 11:41:04,087 fail2ban.filter : INFO   Set findtime = 600
2010-05-21 11:41:04,088 fail2ban.actions: INFO   Set banTime = 600
2010-05-21 11:41:04,096 fail2ban.jail   : INFO   Creating new jail 'proftpd'
2010-05-21 11:41:04,096 fail2ban.jail   : INFO   Jail 'proftpd' uses poller
2010-05-21 11:41:04,099 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2010-05-21 11:41:04,100 fail2ban.filter : INFO   Set maxRetry = 3
2010-05-21 11:41:04,100 fail2ban.filter : INFO   Set findtime = 600
2010-05-21 11:41:04,101 fail2ban.actions: INFO   Set banTime = 600
2010-05-21 11:41:04,112 fail2ban.jail   : INFO   Jail 'ssh' started
2010-05-21 11:41:04,115 fail2ban.jail   : INFO   Jail 'apache' started
2010-05-21 11:41:04,117 fail2ban.jail   : INFO   Jail 'proftpd' started

Was mir merkwürdig vorkommt ist, das sowohl SSH als auch ProFTPd auf ne leere Log zugreifen, denn /var/log/auth.log ist gänzlich leer. Sad

Hoffe ich habe alle nötigen Info´s zusammengetragen. Benötigt jemand dennoch andere Log-Files oder Info´s zur Kontrolle, einfach kurz melden.

Jemand nen Tip oder gr eine Lösung meines Problems?
Wäre dafür sehr dankbar ...

Wünsche Euch ein schönes langes Wochenende,
Gruß Iron Eagle


RE: ispcp 1.0.5 + fail2ban Probleme - joximu - 05-21-2010 08:21 PM

[ssh]
port = ssh


da muss dann wohl der neue/geänderte Port rein...

/J


RE: ispcp 1.0.5 + fail2ban Probleme - dcreation - 05-21-2010 08:27 PM

Dine Auth-Log sollte nicht leer sein. Zumindest ssh Verbindungen werden dort gehalten. Kontrolliere deine Einstellungen zu rsyslog.


RE: ispcp 1.0.5 + fail2ban Probleme - Iron73 - 05-21-2010 08:32 PM

(05-21-2010 08:21 PM)joximu Wrote:  [ssh]
port = ssh

da muss dann wohl der neue/geänderte Port rein...

Ja leuchtet mir ein, ssh interpretiert er in 22 der ja nicht mehr geht.

Habs geändert, aber Problem ist alles beim alten.
Kann per SSH jetzt 6 mal probieren, dann bricht er zwar ab mit:

Code:
Server sent disconnect message
type 2 (protocol error):
"Too many authentication failures for Username"

Aber einfach neue Putty-Verbindung öffnen und weiter tryen, ich werde nicht gebannt, und es wird auch nichts Protokoliert von Fail2Ban ... Sad
(05-21-2010 08:27 PM)dcreation Wrote:  Dine Auth-Log sollte nicht leer sein. Zumindest ssh Verbindungen werden dort gehalten. Kontrolliere deine Einstellungen zu rsyslog.

Alles Debian 5.0 Lenny Installations-Standart + ispcp Updates von 1.0.3 -> 1.0.4 -> 1.0.5, hab nirgends irgendwelche Änderungen an Pfade zu Logs oder so vorgenommen !!!

Logs zu SSH Verbindungen hab ich hier gefunden:

/var/logauth.log
Code:
May 21 12:45:18 srv01 sshd[19985]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=p508eae4a.dip.t-dialin.net  user=USERNAME
May 21 12:45:19 srv01 sshd[19985]: Failed password for USERNAME from 80.142.xxx.xxx port 50575 ssh2
May 21 12:45:22 srv01 sshd[19985]: Failed password for USERNAME from 80.142.xxx.xxx port 50575 ssh2

Sag ich Fail2Ban er soll die Checken, funktionierts aber nach wie vor auch nicht. Darauf war ich auch schon gekommen. Sad

Code:
[ssh]
enabled = true
port    = 12345 (Testport !!!)
filter  = sshd
logpath  = /var/logauth.log
maxretry = 3



RE: ispcp 1.0.5 + fail2ban Probleme - Knut - 05-21-2010 09:30 PM

Offtopic: Warum macht Ihr kein Key-Auth. ?


RE: ispcp 1.0.5 + fail2ban Probleme - BeNe - 05-21-2010 11:01 PM

Also wenn ich das so sehen:
Code:
logpath  = /var/logauth.log
Dann fehlt da ein "/" zwischen log und auth.log
Code:
logpath  = /var/log/auth.log

Greez BeNe


RE: ispcp 1.0.5 + fail2ban Probleme - dcreation - 05-21-2010 11:13 PM

Kein Stress, Iron73. Gleich 3 ! find ich sehr unnötig, immer mit der Ruhe.
Das "Too many authentication failures for Username" ist eine Funktion vom openssh und hat nichts mit fail2ban zutun.

Soweit ich weiß verändert ispcp bei der Installation nichts am syslog. Bei Debian ist der Standart-Syslog Daemon rsyslog. Dieser kümmert sich für die meisten Anwendungen um das leiten der Log-Ströme. Statt dich zu beschweren du hättest nichts geändert schau bitte einfach -ob- du in der config datei was entsprechendes findest. Vorher natürlich die config der entsprechenden Dienste checken, ob er da direkt selbst eine File schreibt. (und somit nicht syslog als facility nutzt.)


RE: ispcp 1.0.5 + fail2ban Probleme - Iron73 - 05-22-2010 01:47 AM

(05-21-2010 11:01 PM)BeNe Wrote:  Also wenn ich das so sehen:
Code:
logpath  = /var/logauth.log
Dann fehlt da ein "/" zwischen log und auth.log
Code:
logpath  = /var/log/auth.log

Greez BeNe

Hallo BeNe,
da ich in der Datei /etc/ssh/sshd_config keinen Pfad für Logs gefunden habe den ich ändern könnte, bin ich einem anderen Tip von dcreation nachgegangen und habe hoffentlich den richtigen rsyslog ausfindig gemacht.

/etc/syslog.conf
Code:
#  /etc/syslog.conf     Configuration file for syslogd.
#
#                       For more information see syslog.conf(5)
#                       manpage.

#
# First some standard logfiles.  Log by facility.
#

auth,authpriv.*          -/var/logauth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                  -/var/logcron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                 -/var/logmail.err

Da find ich eine Zeile ...

Code:
auth,authpriv.*          -/var/logauth.log

Das könnte mein Log Ort Problem sein. Aber spielt es wirklich eine Rolle wo die Logs liegen? Ich hatte ja auch in Fail2Ban den zu überprüfenden Pfad ohne Erfolg geändert.

(05-21-2010 11:13 PM)dcreation Wrote:  Kein Stress, Iron73. Gleich 3 ! find ich sehr unnötig, immer mit der Ruhe.
Das "Too many authentication failures for Username" ist eine Funktion vom openssh und hat nichts mit fail2ban zutun.

Soweit ich weiß verändert ispcp bei der Installation nichts am syslog. Bei Debian ist der Standart-Syslog Daemon rsyslog. Dieser kümmert sich für die meisten Anwendungen um das leiten der Log-Ströme. Statt dich zu beschweren du hättest nichts geändert schau bitte einfach -ob- du in der config datei was entsprechendes findest. Vorher natürlich die config der entsprechenden Dienste checken, ob er da direkt selbst eine File schreibt. (und somit nicht syslog als facility nutzt.)

Hallo dcreation,
entweder habe ich Deine Nachricht falsch interpretiert, oder Du meinige. ;-)

Ich weiß nicht was Du mit "Gleich 3" unnötig findest. Sad

Ich hab mich nicht beschwert und schieb auch in keinster Weise hier Stress. Ich krieg nur Fail2Ban nicht zum laufen und hatte gedacht evtl. hier von dieser netten Comunity einen Lösungsansatz zu bekommen.

Wünsch euch nach wie vor ein schönes Wochenende,
Gruß Iron Eagle


RE: ispcp 1.0.5 + fail2ban Probleme - joximu - 05-22-2010 05:05 AM

ich habe:

Code:
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log



RE: ispcp 1.0.5 + fail2ban Probleme - Iron73 - 05-22-2010 05:44 AM

(05-22-2010 05:05 AM)joximu Wrote:  ich habe:

Code:
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log

Danke für die Hinweise erstmal an dieser Stelle. ;-)

Wie BeNe schon angedeutet hat liegt da bei mir wohl ein Pfad-Problem vor.
Obwohl ich eine Debian 5.0 Grundinstalltion genommen habe, und einzig und allein ispcp installiert hatte, ist mir leider schleiherhaft warum solche Pfadangaben durcheinander geraten können. Sad
Ich habe nirgends rumgespielt und Einstellungen vorgenommen ...

Jetzt hab ich die

/etc/syslog.conf
Code:
auth,authpriv.*                 /var/log/auth.log

abgeändert, und natürlich den Pfad in Fail2Ban angepaßt

/etc/fail2ban/jail.conf
Code:
[ssh]
enabled = true
port    = 12345 (mein Port aus sshd.conf)
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3

/etc/init.d/syslogd restart
/etc/init.d/fail2ban restart

Der sshd log jetzt ordnungsgemäß unter /var/log/auth.log

Jedoch greift immer noch keine Fail2Ban Bannung bei falschen eingaben per SSH Logins. Sad