fail2ban ssh-Tunnel Nextcloud

[scriptorius]

Meine Situation:
Von meinem Homeserver "baue" ich einen ssh-Tunnel zu einem vServer.
Auf dem Homeserver ist eine Nextcloud installiert, die ich dort mit fail2ban schützen möchte.

Das Problem:
fail2ban (auf dem Homeserver installiert) blockiert nicht die nicht erwünschten IP‘s.
Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.

Die google-Suche weist mich darauf hin, dass dies wohl daran liegt, dass die IP‘s durch den ssh-Tunnel "durchgereicht" werden und fail2ban auf dem Homeserver nicht ohne weiteres die "Quell-IP" ermitteln kann.

Ich denke, auch hier wird das Problem angesprochen:
https://nerdblog.steinkopf.net/2016/12/ ... rse-proxy/

Allerdings ist der Eintrag schon recht alt und hilft mir nicht weiter.
Was ist zu beachten?

[Blackbox]

Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.

Diese Darstellung ist wertlos, ohne entsprechende Logfiles und deine Konfiguration.
Für lange Ausgaben (über 6 Zeilen) deiner Konfiguration und deines Logfiles verwendet du bitte NoPaste.

[scriptorius]

Guten Tag,
vielen Dank für Deine Antwort.

Mir geht es erstmal nicht darum, eine konkrete Lösung für meinen konkreten Fall zu finden, sondern um allgemeine Information zu der oben angesprochenen Thematik (fail2ban, ssh-Tunnel, Nextcloud).

Die konkrete Lösung für meinen Fall versuche ich dann (erstmal) selber zu finden.

Wenn ich es richtig verstanden habe, ist eine Fail2ban-Action zu konfigurieren.
Kannst Du mir dazu etwas sagen?
Also mir geht es erstmal darum, ein allgemeines Verständnis zu entwickeln, warum eine "normale" Konfiguration nicht ausreicht. Bis jetzt habe ich nur Vermutungen.

[Lord_Carlos]

Wie werden die Daten vom vServer zu deinem Heimrechner weiter geleitet?
Hast du schon mal "fail2ban behind proxy" gesucht? Das gibt enige vorschlaege. Jedenfalls wenn auf dem vServer die Anfragen via einem Reverse Proxy weitergeleitet werden.
Edit: Oh, habe deinen Beitrag nicht genau gelesen und erst jetzt bemerkt das du dies schon weist. Mein Fehler
Also benutzt du einen reverse Proxy? Und X-Forwarded-For ist eingerichtet?

[TomL]

fail2ban (auf dem Homeserver installiert) blockiert nicht die nicht erwünschten IP‘s.
Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.

Nach meinem Verständnis hat fail2ban nichts mit dem Betrieb von owncloud zu tun, oder einem ssh-Tunnel... und es wird auch diese Prozesse nicht unmittelbar beeinflussen. fail2ban selber blockiert imho auch keine IP-Adressen, es wertet geschriebene Logs aus, ermittelt aus diesen Logs subversiv scheinende IP-Adressen und fügt dann eine Regel im Paketfilter (iptables oder nftables) des Kernels an. Und erst diese Filterregel verwirft die TCP-Pakete bestimmter IP-Adressen. Im Endeffekt reagiert fail2ban somit aufgrund vergangener Ereignisse.

Wann kann fail2ban seinen Job nicht richtig tun?

• Wenn vielleicht die Log-Einstellungen von nextcloud oder ssh falsch sind, so das fail2ban gar nix findet... keine Ahnung was man da falsch machen kann (?loglevel?)
• Wenn vielleicht die Bedingungen für nextcloud oder ssh in fail2ban fehlerhaft sind... also Syntax- oder Expressionfehler
• Wenn vielleicht die Bedingungen für nextcloud oder ssh in fail2ban zwar syntaktisch korrekt sind, aber hinsichtlich der Erkennung fehlerhaft sind
• Wenn vielleicht ein Reverse-Proxy vorgaukelt, dass alle Pakete lokale Pakete sind

Wie blackbox schon sagte, ohne Dein Setup zu kennen, kann man da gar nix zu sagen.

[MSfree]

Wann kann fail2ban seinen Job nicht richtig tun?...

Man muß dabei berücksichtigen, daß ein Zugriff über einen SSH-Tunnel für die Serverseite immer wie ein lokaler Netzwerkzugriff aussieht.

Beispiel:
Wenn der Server die IP-Adresse 10.0.0.1 hat, dann ist die Quell-IP-Adresse der Netzwerkpakete, die aus dem Tunnel kommen, auch 10.0.0.1. Hier mit fail2ban anzusetzen, ist also nicht zielführend.

Man muß verhindern, daß überhaupt ein SSH-Tunnel aufgebaut werden kann. fail2ban muß also die SSH-Logmeldungen überwachen.

Wenn Nextcloud nur aus dem lokalen Netz erreichbar ist und von aussen komplett blockiert wird, braucht sich fail2ban um Nextcloud überhaupt nicht zu kümmern. Da der Zugriff dann nur im LAN und aus dem SSH-Tunnel kommen kann, und der SSH-Tunnelzugriff ist ja effektiv ein Zugriff aus dem lokalen Netzwerk.

[TomL]

Ich vermute sehr sehr stark das OP aus dem internet auf via dem vServer auf sein Nextcloud zugreifen will.
Und die Loesung mit fail2ban steht in dem link den er selber gepostet hat. Angenommen er benutzt ein reverse proxy auf dem vServer und leitet es nicht anderweitig weiter.

Aber dann ist doch der Homeserver der falsche Ansatz für fail2ban... dann muss doch bereits auf dem vserver verhindert werden, dass überhaupt weitere Versuche für eine SSH-Verbindung durchgeführt werden können. In diesem Fall würde ich versuchen, TCP-Pakete mit dem conntrack-state new direkt auf dem VServer zu verwerfen, wenn eine IP hartnäckig in kurzer Zeit immer wieder auftaucht. Ob fail2ban dafür das richtige Werkzeug ist, weiss ich nicht... ich vermute eher nicht oder es ist zu träge.


*uuups*... worauf hab ich denn jetzt geantwortet....? ...

[Lord_Carlos]

*uuups*... worauf hab ich denn jetzt geantwortet....? ...

Auf ein Beitrag den ich wieder geloescht habe. Zu harsche Wortwahl meinerseits und mir ist dann auch aufgefallen das es dann schwer wird vom Heimrechner aus zu blocken.

Wie dem auch sei, erstmal muessen wir wissen ob OP ueberhaupt ein proxy benutzt.
Und dann muss ggf fail2ban von Heimserver auf iptables auf dem vserver zugreifen, oder fail2ban auf dem vServer auf die logs des Heimservers. Oder oder oder

[scriptorius]

Hallo,

vielen Dank für die Antworten, jetzt habe ich wieder einige Hinweise, denen ich folgen kann:

Und dann muss ggf fail2ban von Heimserver auf iptables auf dem vserver zugreifen, oder fail2ban auf dem vServer auf die logs des Heimservers. Oder oder oder

Logisch wäre jetzt für mich, wenn fail2ban auf dem Homeserver auf die logs (und die darin protokollierten, gescheiterten Verbindungsversuche) des vServers zugreift, denn über die IP des vServers greife ich ja durch den Tunnel auf die Nextcloud des Homeservers zu, oder?

Naja, wie dem auch sei, ich lerne gerade wieder eine Menge, das freut mich ...

[scriptorius]

... eine Frage hierzu, das ist mir noch nicht ganz klar:

Man muß verhindern, daß überhaupt ein SSH-Tunnel aufgebaut werden kann. fail2ban muß also die SSH-Logmeldungen überwachen.

Wie meinst Du das?
Der Tunnel ist ja die ganze Zeit aufgebaut.

[MSfree]

Der Tunnel ist ja die ganze Zeit aufgebaut.

Das ist keine gute Idee.Damit stellst du deinen Nextcloud-Server praktisch ungeschützt ins Internet. Da kann auch fail2ban nichts mehr ausrichten, falls jemand deine Wolke kapern will.

[scriptorius]

Wieso das?
Also "geschützt" wird der Zugang zur Nextcloud doch durch Nutzername, Passwort, integrierte brute-force-protection, trusted domains etc.

[scriptorius]

... ja, ok, ich denke, wenn ein Spezialist mit genügend Ressourcen gezielt meinen kleinen Homeserver alleine "knacken" will, dann hilft kein Schutz der Welt.
Ich möchte nur verhindern, dass ich durch automatisiertes cracken Opfer werde.

[Lord_Carlos]

Logisch wäre jetzt für mich, wenn fail2ban auf dem Homeserver auf die logs (und die darin protokollierten, gescheiterten Verbindungsversuche) des vServers zugreift, denn über die IP des vServers greife ich ja durch den Tunnel auf die Nextcloud des Homeservers zu, oder?

Wenn die logs vom vServer ausreichen, dann kannst du auch alle da laufen lassen.
Aber kannst du auf dem vServer erkennen wenn jemand das PW falsch eingegeben hat?

Ich bin leider kein ip / nftables experte. Ich kann nicht sehen wie du eine internet IP auf dem Heimrechner bannen kannst.
Deswegen war meine Idee das blocken den vServer zu ueberlassen. Der muss aber wissen ob jemand das PW mehrfach eingegeben hat.
Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.

Ob du ein reverse proxy benutzt wissen wir immer noch nicht

[scriptorius]

Ob du ein reverse proxy benutzt wissen wir immer noch nicht

Laut Anleitung baue ich einen Tunnel mit der SSH-Option Remote Forwarding, der vServer dient als proxy.

Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.

Wie funktioniert das grundsätzlich?

[Lord_Carlos]

Ob du ein reverse proxy benutzt wissen wir immer noch nicht

Laut Anleitung baue ich einen Tunnel mit der SSH-Option Remote Forwarding, der vServer dient als proxy.

Jo, mit SSH wird der Heimrechner mit der Vserver verbunden. Aber irgendwie muss der vServer ja wissen das http Anfragen vom Internet an den Heimrechner weitergeleitet werden muessen. Wie passiert das?

Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.

Wie funktioniert das grundsätzlich?

Vielleicht einfach nur jede Minute via cron / systemd.timer die logs mit rsync rueber schieben?
Oder vielleicht kann dein webserver logs remote speichern?
Oder vielleicht am besten ein log server installieren?

[scriptorius]

Dieser "Weg" scheint mir für meinen Anwendungsfall zu aufwendig.
Ich habe auf der Suche einiges gelesen über den ziemlich neuen FIDO2-Standard,
bzw. das Absichern der nextcloud mithilfe eines "nitrokey".

https://nextcloud.com/blog/nitrokey-and ... te-clouds/

Mal sehen, vielleicht gelingt es mir ja, darüber einen neue "Sicherheitshürde" einzubauen ...