fail2ban funktioniert nicht

[spidermaus]

Hallo,

ich versuche gerade auf meinem Cubietruck (aktuelles Cubian Desktop) jail2ban an's Laufen zu kriegen, um SSH abzusichern.

Habe die Datei jail.local so konfiguriert, dass "eigentlich" nach 3 Login-Fehlversuchen eine Zeitstrafe von 10 Minuten erfolgen soll.

Trotzdem kann ich mich nach x vorangegangenen Fehlversuchen (x > 3), wieder sofort ganz normal einloggen.

Vielleicht habt ihr eine Idee, was ich falsch mache.

Cubietruck hat IP 192.168.188.22
SSH läuft auf Port 36000

Login-Versuche kamen aus dem lokalen Netz von IP 192.168.188.20

Hier ein Auszug aus der jail.local (mit den modifizierten Zeilen)

Code: Alles auswählen

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 192.168.188.22
bantime  = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = auto

Code: Alles auswählen

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = 36000
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Grüße,
Andre

[Dimejo]

Hast Du fail2ban neu gestartet? Wurde die iptables-Chain für SSH korrekt erstellt?

Code: Alles auswählen

root@server:~# iptables -L

[spidermaus]

Hast Du fail2ban neu gestartet? Wurde die iptables-Chain für SSH korrekt erstellt?

Code: Alles auswählen

root@server:~# iptables -L

Hi Dimejo,

ja. Alles versucht. Restart als auch Stop/Start

Hier die Rückgabe von iptables -L

Code: Alles auswählen

cubie@Cubian:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports 36000

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere    

Gruß,
Andre

[Dimejo]

Und der Login-Fehlversuch wird auch korrekt in /var/log/auth.log aufgelistet?

[spidermaus]

nein. Die Datei ist leer. Ein Zugriffsrechteproblem der Datei? Muss ich die einem bestimmten user schreibbar machen?

[NAB]

nein. Die Datei ist leer. Ein Zugriffsrechteproblem der Datei? Muss ich die einem bestimmten user schreibbar machen?

Nein, eher umgekehrt ... du musst den System-Log-Dienst dazu bringen, in die Datei zu schreiben.

Nun habe ich von Cubian keine Ahnung, aber ich könnte mir vorstellen, dass die Logs auf ein Minimum reduziert wurden, um SD-Karten und ähnliches zu schonen.

[spidermaus]

TOP!

Genau das war das Problem.

Ich habe in der /etc/rsyslog.conf folgendes getan:

Ich ersetzte:

Code: Alles auswählen

#auth,authpriv.*   /var/log/auth.log

durch:

Code: Alles auswählen

auth,authpriv.*   /var/log/auth.log

Danach Dienst neu starten:

Code: Alles auswählen

sudo /etc/init.d/rsyslog restart

-> fail2ban tut was es soll!

Danke nochmal an alle!!

Topic kann als "solved" deklariert werden

Gruß,
Andre