Fail2Ban won't ban

janis

janis

BOFH
Hey,

ich hab meinen Debian Server neu aufgesetzt und jetzt möchte mein Fail2Ban nicht mehr fehlgeschlagene SSH-Zugriffe bannen.

Auszug aus der auth.log
Code:
Nov  9 21:04:33 vgr sshd[17856]: Invalid user b from **IP**
Nov  9 21:04:33 vgr sshd[17856]: input_userauth_request: invalid user b [preauth]
Nov  9 21:04:34 vgr sshd[17856]: Failed none for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:35 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:36 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:37 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:37 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:38 vgr sshd[17856]: Failed password for invalid user b from **IP** port 50261 ssh2
Nov  9 21:04:38 vgr sshd[17856]: Disconnecting: Too many authentication failures for b [preauth]


Vollständige fail2ban.log
Code:
2013-11-03 06:25:01,937 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6

Fail2ban läuft aber:
Code:
root@vgr:/var/log# ps -A | grep fail
10440 ?        00:02:55 fail2ban-server

Auszug aus iptables -L
Code:
Chain fail2ban-ssh (0 references)
target     prot opt source               destination

Auszug aus der /etc/fail2ban/jail.conf
Code:
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6
Habe an dieser Datei aber nichts geändert, nach der Installation.

Hab ich irgendwas vergessen?

Hoffe ihr könnt mir helfen.
Gruß
Jan
 
Vollständige fail2ban.log
Code:
2013-11-03 06:25:01,937 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
Für ein vollständiges logfile sheint mir fail2ban etwas schweigsam.
Zum Vergleich meines:
Code:
2013-11-09 23:50:37,102 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2013-11-09 23:50:37,106 fail2ban.jail   : INFO   Creating new jail 'ssh'
2013-11-09 23:50:37,109 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2013-11-09 23:50:37,238 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2013-11-09 23:50:37,242 fail2ban.filter : INFO   Set maxRetry = 6
2013-11-09 23:50:37,249 fail2ban.filter : INFO   Set findtime = 600
2013-11-09 23:50:37,253 fail2ban.actions: INFO   Set banTime = 600
2013-11-09 23:50:37,570 fail2ban.jail   : INFO   Jail 'ssh' started
2013-11-10 02:05:38,849 fail2ban.server : INFO   Stopping all jails
2013-11-10 02:05:39,781 fail2ban.jail   : INFO   Jail 'ssh' stopped
2013-11-10 02:05:39,791 fail2ban.server : INFO   Exiting Fail2ban
2013-11-10 02:05:42,294 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2013-11-10 02:05:42,299 fail2ban.jail   : INFO   Creating new jail 'ssh'
2013-11-10 02:05:42,306 fail2ban.jail   : INFO   Jail 'ssh' uses Gamin
2013-11-10 02:05:42,474 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2013-11-10 02:05:42,479 fail2ban.filter : INFO   Set maxRetry = 6
2013-11-10 02:05:42,487 fail2ban.filter : INFO   Set findtime = 600
2013-11-10 02:05:42,490 fail2ban.actions: INFO   Set banTime = 3600
2013-11-10 02:05:42,814 fail2ban.jail   : INFO   Jail 'ssh' started
2013-11-10 07:35:20,499 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2013-11-10 07:38:22,702 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

Auszug aus iptables -L
Code:
Chain fail2ban-ssh (0 references)
target     prot opt source               destination
Bei mir richtet fail2ban folgende chains ein:
Code:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN


Ich nehme an, dass du Neustarts des services, etc bereits probiert hast?
 
Ich habs jetzt irgendwie zum Laufen bekommen.
Und ja, das war meine gesamte Log.

Hab mit dem Fail2Ban-Client die Config neu geladen. Und den Dienst mal zeitweise im Interaktiven Modus laufen lassen. Dann hat es funktioniert. Weiß aber immer noch nicht warum es anfangs nix getan hat, weil neugestartet hatte ich den Fail2Ban Server schon.

Gruß
Jan
 

Ähnliche Themen

3 Wege zur Authentifizierung?

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Adressvergabe in anderen Subnets

SSH nicht mehr erreichbar nach fail2ban / disabling root login

Hilfe bei fail2ban

Zurück
Oben