fail2ban

[saxandl]

Hi!
ich hab fail2ban installiert und es läuft soweit auch stabil. Seltsamer weise wird aber eine IP-Adresse nicht gebannt (195.22.126.201) die über smtp/sasl angreift.
Das wundert mich insoferne, als dass andere IP-Adressen einwandfrei gebannt werden. z.B.

Code: Alles auswählen

2015-12-13 09:07:51,157 fail2ban.actions: WARNING [sasl] Ban 72.46.152.50

jedoch wie im logfile ersichtlich

Code: Alles auswählen

Dec 18 12:52:49 easyscp postfix/smtpd[29648]: warning: unknown[195.22.126.201]: SASL LOGIN authentication failed: authentication failure

genau diese IP nicht gesperrt wird

hat jmd eine Idee dazu?

[eggy]

Ja.

[saxandl]

Ja.

danke, hier werden sie geholfen

[eggy]

Wie soll man Dir denn helfen? Woher sollen wir wissen, wie Du das Zeug konfiguriert hast?

[saxandl]

jetzt bin ich aber gespannt:

sasl.conf

Code: Alles auswählen

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ]*)?$

greift - wie beschrieben - bei 195.22.126.201 nicht

jail.conf

Code: Alles auswählen

ignoreip = 127.0.0.1/8

aus dem log

Code: Alles auswählen

015-12-18 18:09:27,805 fail2ban.actions: WARNING [ssh] Ban 87.255.67.98
2015-12-18 19:06:45,453 fail2ban.actions: WARNING [sasl] Ban 212.107.104.132
2015-12-18 19:43:20,079 fail2ban.actions: WARNING [sasl] Ban 187.75.137.96
2015-12-18 19:57:37,040 fail2ban.actions: WARNING [sasl] Ban 194.243.62.90

[eggy]

Das ist eine Zeile, keine vollständige Config. Mir ist das zu blöd. Ist ja auch nicht das erste Mal, dass Du hier gesagt bekommst, dass man Dir ohne entsprechende Daten nicht helfen kann.

[saxandl]

die zeilen enthalten alle relevanten informationen.

wenn du Ahnung hast, kommst du damit zurecht - wenn nicht, rotz halt hier herum, wenn's dich befreit!

[eggy]

Folglich: Du hast also keine Ahnung. Und Manieren auch nicht, schade.

[mistersixt]

Ich kenne mich im Detail nicht mit fail2ban aus, aber erwartet das fail2ban hier nicht noch CRAM-MD5 oder DIGEST-MD5 in der Fehlermeldung, bevor er zuschlägt? Sprich, der Anmeldeversuch von dieser IP ist eher nicht standardkonform?

Gruss, mistersixt.

[TRex]

Ich kenne mich im Detail nicht mit fail2ban aus, aber erwartet das fail2ban hier nicht noch CRAM-MD5 oder DIGEST-MD5 in der Fehlermeldung, bevor er zuschlägt? Sprich, der Anmeldeversuch von dieser IP ist eher nicht standardkonform?

Gruss, mistersixt.

Nein, achte auf die Klammern:

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ]*)?$

Daran liegts nicht.

@saxandl/eggy: versuchts mal mit mehr Kommunikation. "Ja" könnte vielleicht auch heißen "zeig uns bitte die ganze Datei, denn wenn das Problem an der geposteten Zeile wäre, hättest du es vermutlich auch von selbst gefunden". Auf dem Standpunkt bin ich nämlich auch.

[whisper]

Mein erster Gedanke wäre, die regex live zu testen mit fail2ban-regex
Ist das schon getan worden?
Hier finde ich 101 Treffer mit einer regex.
u.a. 199.89.54.253
123.103.23.246
79.39.101.16

Code: Alles auswählen

fail2ban-regex --verbose /var/log/mail.log '(?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ]*)?$' '127.0.0.1/8'

Dann kann es nur sein, das deine IP gar nicht in dem Zeitraum oft genug zugegriffen hat, hast du das kontrolliert?

[saxandl]

Hello whisper!

Ich hab mal dasfail2ban-regex mit exact dem String aus /etc/fail2ban/filter.d/sasl.conf drüber laufen lassen. Hier die Auflistung:

Code: Alles auswählen

Addresses found:
[1]
    185.130.5.231 (Sun Dec 27 06:49:33 2015)
    185.130.5.231 (Sun Dec 27 07:22:57 2015)
    46.183.217.136 (Sun Dec 27 07:52:40 2015)
    185.130.5.231 (Sun Dec 27 07:56:26 2015)
    185.130.5.231 (Sun Dec 27 08:30:06 2015)
    185.130.5.231 (Sun Dec 27 09:03:36 2015)
    80.87.194.250 (Sun Dec 27 09:31:09 2015)
    185.130.5.231 (Sun Dec 27 09:37:04 2015)
    185.130.5.231 (Sun Dec 27 10:10:36 2015)
    185.130.5.231 (Sun Dec 27 10:44:04 2015)
    195.154.253.185 (Sun Dec 27 10:48:09 2015)
    185.130.5.231 (Sun Dec 27 11:17:27 2015)
(*) 80.82.65.61 (Sun Dec 27 11:20:12 2015)
    189.126.63.50 (Sun Dec 27 11:30:57 2015)
    195.154.253.185 (Sun Dec 27 11:49:07 2015)
    185.130.5.231 (Sun Dec 27 11:50:46 2015)
    46.183.217.136 (Sun Dec 27 12:01:15 2015)
    80.82.65.61 (Sun Dec 27 12:01:19 2015)
    80.82.65.61 (Sun Dec 27 12:13:11 2015)
    80.82.65.61 (Sun Dec 27 12:23:12 2015)
    80.82.65.61 (Sun Dec 27 12:23:12 2015)
    80.82.65.61 (Sun Dec 27 12:24:06 2015)
    185.130.5.231 (Sun Dec 27 12:24:09 2015)
    185.130.5.231 (Sun Dec 27 12:57:37 2015)
    195.154.253.185 (Sun Dec 27 13:27:55 2015)
    185.130.5.231 (Sun Dec 27 13:31:03 2015)
    195.154.253.185 (Sun Dec 27 13:43:18 2015)
    185.130.5.231 (Sun Dec 27 14:04:30 2015)
    185.130.5.231 (Sun Dec 27 14:38:01 2015)
    185.130.5.231 (Sun Dec 27 15:11:38 2015)
    185.130.5.231 (Sun Dec 27 15:45:21 2015)
    46.183.217.136 (Sun Dec 27 16:09:16 2015)
    185.130.5.231 (Sun Dec 27 16:19:07 2015)
    185.130.5.231 (Sun Dec 27 16:52:46 2015)
    80.87.194.250 (Sun Dec 27 16:57:09 2015)
    37.140.116.3 (Sun Dec 27 17:13:26 2015)
    37.140.116.3 (Sun Dec 27 17:14:31 2015)
(*) 37.140.116.3 (Sun Dec 27 17:15:33 2015)
    185.130.5.231 (Sun Dec 27 17:26:05 2015)
    185.130.5.231 (Sun Dec 27 17:59:27 2015)
    185.130.5.231 (Sun Dec 27 18:32:59 2015)
    185.130.5.231 (Sun Dec 27 19:06:35 2015)
    185.130.5.231 (Sun Dec 27 19:40:30 2015)
    195.154.253.185 (Sun Dec 27 20:02:52 2015)
    185.130.5.231 (Sun Dec 27 20:14:18 2015)
    46.183.217.136 (Sun Dec 27 20:16:46 2015)
    185.130.5.231 (Sun Dec 27 20:48:12 2015)

und als Vergleich der fail2ban log

Code: Alles auswählen

2015-12-27 12:24:07,973 fail2ban.actions: WARNING [sasl] Ban 80.82.65.61
2015-12-27 17:15:35,322 fail2ban.actions: WARNING [sasl] Ban 37.140.116.3

Es wurden also nur die zwei oben mit (*) markierten IP-Adressen gebannt, die anderen nicht. Und das ist für mich nicht nachvollziebar: failregex findet alle, es werden aber nur manche gebannt!

[heisenberg]

@saxandl:

Fehler in regulären Ausdrücken können manchmal schwierig zu finden sein. Mir sind z. B. einige der Elemente in Deinem RegEx nicht geläufig. Kann es evtl. sogar sein, dass gewisse erweiterte RegEx-Teilausdrücke von fail2ban nicht unterstützt werden? Ich vermute darin eine mögliche Fehlerquelle. Gerade in fortgeschrittenen RegExp-Ausdrücken unterscheiden sich die Implementationen bzgl. der Syntax.

Ich empfehle mit einer allgemeineren Form der Ausdrücke zu beginnen und den Ausdruck dann schrittweise zu verfeinern und dabei immer wieder Tests durchzuführen.

Eine Hilfe können auch Web-RegEx-Tester sein mit denen man sich schrittweise gut an Ausdruck und Testdaten voranarbeiten kann.

[whisper]

fail2ban hat eine aktive Mailingliste, da würde ich das mal besprechen.

Achnee, ich sehe deinen Denkfehler, glaube ich.

Code: Alles auswählen

(*) 37.140.116.3 (Sun Dec 27 17:15:33 2015)
    185.130.5.231 (Sun Dec 27 17:26:05 2015)
    185.130.5.231 (Sun Dec 27 17:59:27 2015)
    185.130.5.231 (Sun Dec 27 18:32:59 2015)
    185.130.5.231 (Sun Dec 27 19:06:35 2015)
    185.130.5.231 (Sun Dec 27 19:40:30 2015)

Hier z.B. Man achte auf die zeitliche Abfolge.
fail2ban verbietet normalerweise gar nichts, sondern zählt die im Zeitfenster (Normal 10 Minuten) aufgetretenen Versuche.
Die 185.130.5.231 ist definitiv zu selten
Dann kommt es darauf an, was im Filter angegeben ist, normal 3-6 . Du hast 3 eingestellt, sieht man ja. 3 Versuche innerhalb von 10 Minuten bei 37.140.116.3

[heisenberg]

Treffer versenkt!

Die Default-Config ist definitiv so wie whisper beschrieben hat:

/etc/fail2ban/jails.conf

Code: Alles auswählen

[DEFAULT]
findtime = 600
bantime = 600
maxretries = 3

[whisper]

Treffer versenkt!

Was mich mal wieder ärgert, dass ich das auch im Post von 19.12.2015 08:58:42 hätte erkennen können, er hat da ja bereits einen Log Ausschnitt mit Zeiten geposted.
Sorgfältig lesen hilft

[saxandl]

Treffer versenkt!

ja, genau, das war's! in meiner config ist "findtime" nicht definiert, beim start oder reload wird die 600 als default ausgegeben (ist mir nicht aufgefallen ).

danke für den Hinweis!