Fail2Ban-Doku falsche Log-Pfade?

[Rafioso]

EDIT ist weiter unten

Hi,

seit der neusten ispCP-Version (oder vll. auch schon seit 1.0.5, ist mir da aber nicht aufgefallen), sperrt Fail2Ban nicht mehr alles.

Nachdem ich vieles probiert habe, was aber alles nichts brachte, habe ich Fail2Ban deinstalliert und nach der Doku wieder installiert.

Bei SSH arbeitet Fail2Ban ohne Probleme.
Bei Http-Auth macht er gar nichts, ignoriert also die falschen Eingaben und sperrt nicht.
Bei FTP gehe ich mal davon aus, dass es geht (nicht getestet, IP-Sperren kamen aber auch bei 1.0.5 per Mail an, lief dort also).
Bei Mail gehe ich mal davon aus, dass es geht (nicht getestet, IP-Sperren kamen aber auch bei 1.0.5 per Mail an, lief dort also).

Laut Doku muss der Log-Pfad bei Apache auf "/var/log/apache2/users/*access.log" geändert werden. Bringt aber nichts.

Ich habe jetzt mal geschaut, ob die falsche Login-Eingaben in dem angegebenem Log vermerkt werden: Dem ist nicht so! Sie werden in der "/var/log/apache2/users/default-error.log" gespeichert.

Dann habe ich eben diesen Log als Eintrag bei der jail.conf hinzugefügt, brachte aber auch nichts :/

Ich weiß, dass Fail2Ban bei mir schon mal bei HTTP-Auth funktionierte, aber seit irgend einer ispCP-Version gehts nicht mehr.

Weiß einer Rat?

Ich habe auch in einem anderen Thread gelesen, dass evtl. der Pfad in der "etc/syslog.conf" falsch sein soll, diese Datei habe ich nicht mal.

PS: fail2ban.log sagt nichts über einen Fehler o.ä.

Danke.

---

EDIT


Ich habe den Pfad jetzt auf "/var/log/apache2/users/*-error.log" geändert und jetzt werde ich gebannt. Aber bis man gebannt wird, können schon mal 10 Minuten und mehr vergehen. Das war früher nicht so. Weiß jemand warum?

[Rafioso]

Also das in dem EDIT taucht nicht auf, wenn man bei FTP-Loginversuchen gebannt wird. Dort geht es sofort, sozusagen On-The-Fly....

[grisu]

Also erstens hast du recht wegen den Dateien...
ich musste auch auf
/var/log/apache2/users/*-error.log ändern... (bei mir sind die vergebenen Versuche auch nur in default-error.log drin.

Zweitens... bist du sicher, dass es so lange dauert und nicht fail2ban "mein" du seist schon gebannt? Ich werde nämlich sofort gebannt. Wenn ich dann allerdings die iptables 'flushe' mit iptables -F, werde ich von fail2ban nicht erneut gebannt, aber im /var/log/fail2ban.log erscheint dann:

Code:

2010-08-11 12:42:29,543 fail2ban.actions: WARNING [apache] Ban 8x.yyy.zzz.45

< jetzt ein 'iptables -F' gemacht >
<                dann:                  >
2010-08-11 12:43:15,550 fail2ban.actions: WARNING [apache] 8x.yyy.zzz.45 already banned
2010-08-11 12:43:19,550 fail2ban.actions: WARNING [apache] 8x.yyy.zzz.45 already banned
2010-08-11 12:43:23,550 fail2ban.actions: WARNING [apache] 8x.yyy.zzz.45 already banned

Also wie du siehst, reagiert es sofort.

[Rafioso]

Gut, dann ist der Pfad in der Doku wirklich falsch.

Nochmal wegen der Dauer bis zum Bann:
Wenn ich z.B. fünf Mal das Passwort falsch eingebe, dann müsste der Bann durchgeführt werden. Erst nach ca. 10 Minuten merkt fail2ban aber, die Login-Versuche und bannt mich.
Ich kann also in den 10 Minuten noch hundert mal das Passwort ausprobieren.

[grisu]

aber im log erscheint es sofort? und was sagt denn failban.log?

[Rafioso]

Ja, im Error-Log erscheint es sofort. Der Log von fail2ban sagt nichts. Also kein Fehler oder so. Und der Bann-Log-Eintrag kommt dann auch erst nach der besagten Zeit.

[grisu]

Hmmm .... kann ich mir irgendwie nicht erklären. Könnte fail2ban irgendwie überlastet sein? Zuviele Logs zum überwachen oder so? Testweise könntest du ja mal nur den einen Jail und das eine log (default-error.log) angeben...
Aber irgendwie stochere ich da im Nebel und kanns mir nicht richtig vorstellen.

[Rafioso]

Gerade eben wieder ausprobiert. Nun läuft alles wie mit neuem Öl geschmiert. Frage mich bitte nicht warum :/