Fail2Ban won't ban

Dieses Thema im Forum "Security Talk" wurde erstellt von janis, 09.11.2013.

  1. janis

    janis BOFH

    Dabei seit:
    02.09.2007
    Beiträge:
    179
    Zustimmungen:
    0
    Ort:
    Deutschland
    Hey,

    ich hab meinen Debian Server neu aufgesetzt und jetzt möchte mein Fail2Ban nicht mehr fehlgeschlagene SSH-Zugriffe bannen.

    Auszug aus der auth.log
    Code:
    Nov  9 21:04:33 vgr sshd[17856]: Invalid user b from **IP**
    Nov  9 21:04:33 vgr sshd[17856]: input_userauth_request: invalid user b [preauth]
    Nov  9 21:04:34 vgr sshd[17856]: Failed none for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:35 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:36 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:37 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:37 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:38 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
    Nov  9 21:04:38 vgr sshd[17856]: Disconnecting: Too many authentication failures for b [preauth]
    

    Vollständige fail2ban.log
    Code:
    2013-11-03 06:25:01,937 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
    
    Fail2ban läuft aber:
    Code:
    root@vgr:/var/log# ps -A | grep fail
    10440 ?        00:02:55 fail2ban-server
    Auszug aus iptables -L
    Code:
    Chain fail2ban-ssh (0 references)
    target     prot opt source               destination
    
    
    Auszug aus der /etc/fail2ban/jail.conf
    Code:
    [ssh]
    
    enabled  = true
    port     = ssh
    filter   = sshd
    logpath  = /var/log/auth.log
    maxretry = 6
    
    Habe an dieser Datei aber nichts geändert, nach der Installation.

    Hab ich irgendwas vergessen?

    Hoffe ihr könnt mir helfen.
    Gruß
    Jan
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Gast123, 10.11.2013
    Gast123

    Gast123 Guest

    Für ein vollständiges logfile sheint mir fail2ban etwas schweigsam.
    Zum Vergleich meines:
    Code:
    2013-11-09 23:50:37,102 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
    2013-11-09 23:50:37,106 fail2ban.jail   : INFO   Creating new jail 'ssh'
    2013-11-09 23:50:37,109 fail2ban.jail   : INFO   Jail 'ssh' uses poller
    2013-11-09 23:50:37,238 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
    2013-11-09 23:50:37,242 fail2ban.filter : INFO   Set maxRetry = 6
    2013-11-09 23:50:37,249 fail2ban.filter : INFO   Set findtime = 600
    2013-11-09 23:50:37,253 fail2ban.actions: INFO   Set banTime = 600
    2013-11-09 23:50:37,570 fail2ban.jail   : INFO   Jail 'ssh' started
    2013-11-10 02:05:38,849 fail2ban.server : INFO   Stopping all jails
    2013-11-10 02:05:39,781 fail2ban.jail   : INFO   Jail 'ssh' stopped
    2013-11-10 02:05:39,791 fail2ban.server : INFO   Exiting Fail2ban
    2013-11-10 02:05:42,294 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
    2013-11-10 02:05:42,299 fail2ban.jail   : INFO   Creating new jail 'ssh'
    2013-11-10 02:05:42,306 fail2ban.jail   : INFO   Jail 'ssh' uses Gamin
    2013-11-10 02:05:42,474 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
    2013-11-10 02:05:42,479 fail2ban.filter : INFO   Set maxRetry = 6
    2013-11-10 02:05:42,487 fail2ban.filter : INFO   Set findtime = 600
    2013-11-10 02:05:42,490 fail2ban.actions: INFO   Set banTime = 3600
    2013-11-10 02:05:42,814 fail2ban.jail   : INFO   Jail 'ssh' started
    2013-11-10 07:35:20,499 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
    2013-11-10 07:38:22,702 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
    Bei mir richtet fail2ban folgende chains ein:
    Code:
    sudo iptables -S
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -N fail2ban-ssh
    -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
    -A fail2ban-ssh -j RETURN
    

    Ich nehme an, dass du Neustarts des services, etc bereits probiert hast?
     
  4. janis

    janis BOFH

    Dabei seit:
    02.09.2007
    Beiträge:
    179
    Zustimmungen:
    0
    Ort:
    Deutschland
    Ich habs jetzt irgendwie zum Laufen bekommen.
    Und ja, das war meine gesamte Log.

    Hab mit dem Fail2Ban-Client die Config neu geladen. Und den Dienst mal zeitweise im Interaktiven Modus laufen lassen. Dann hat es funktioniert. Weiß aber immer noch nicht warum es anfangs nix getan hat, weil neugestartet hatte ich den Fail2Ban Server schon.

    Gruß
    Jan
     
Thema:

Fail2Ban won't ban

Die Seite wird geladen...

Fail2Ban won't ban - Ähnliche Themen

  1. Hilfe bei fail2ban

    Hilfe bei fail2ban: Hallo, kann mir bei fail2ban behilflich sein? Ich möchte gerne nach 5 fehlgeschlagenen Logins, am Roundcube Interface, die Ip Adresse sperren....
  2. fail2ban Angriff auf Mailport nicht erkannt

    fail2ban Angriff auf Mailport nicht erkannt: Hallo Mein System: Debian Squeeze Ich habe von logcheck eine E-Mail bekommen, dass meine Mail Log verdächtige Einträge enthält. Gut, habe...
  3. fail2ban sendet keine mail

    fail2ban sendet keine mail: Hi, habe mir erstmal fail2ban auf ssh eingestellt. Bei 1 Fehlversuch bannt er die IP mit einem Eintrag in iptables. ABER: Er sendet keine...
  4. kann das action.d script so laufen (fail2ban)

    kann das action.d script so laufen (fail2ban): Mahlzeit, ich habe mich nun mit fail2ban befasst habe aber noch einige fragen die mir niemand erklären kann. hoffe ihr schafft das....
  5. fail2ban Fehler

    fail2ban Fehler: Hallo, ich hatte hier: http://www.unixboard.de/vb3/showthread.php?t=41494 nachgefragt was ich gegen die andauernden Zugriffe zun kann. Es wurde...