fail2ban Problem

[Huck Fin]

Hi,
ich habe mir mal das Paket fail2ban (rev. 629) installiert.
In der /etc/fail2ban/jail.conf habe ich

Code: Alles auswählen

ignoreip = 127.0.0.1 192.168.22.5

eingetragen.
Das ist die IP von meinem PC (192.168.22.5)

Wenn ich eine Webseite auf meinem Apache2 öffne, die mit htpasswd geschützt ist, klappt alles wunderbar.

Wenn ich allerdings am Passwort mit Escape abbreche, werde ich gebannt.
iptables -L zeigt mir, dass meine IP gebannt ist.

OSSEC meldet

Code: Alles auswählen

Web server 400 error code

Warum funktioniert das mit dem ignoreip nicht ?
Mache ich da was falsch ?

[unitra]

Mach doch mal

Code: Alles auswählen

ignoreip = 127.0.0.1 192.168.22.0/24

Und probiere ob du dann auch gebannt wirst.

Wenn ja, dann mach mal

Code: Alles auswählen

grep -v '#' /etc/fail2ban/jail.conf

Und hier bitte mal posten.
Achso, nachdem du die jail.conf geändert hast, den Dienst bitte neustarten. Dann erst ausprobieren.

[Huck Fin]

Hi,

ignoreip = 127.0.0.1 192.168.22.0/24

hatte ich ausprobiert...

Achso, nachdem du die jail.conf geändert hast, den Dienst bitte neustarten. Dann erst ausprobieren

mache ich auch immer.

Server:/# grep -v '#' /etc/fail2ban/jail.conf

Code: Alles auswählen

[DEFAULT]

ignoreip = 127.0.0.1 192.168.22.5
bantime  = 60
maxretry = 3

backend = polling

destemail = root@localhost


banaction = iptables-multiport

mta = sendmail

protocol = tcp


action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
action = %(action_mwl)s




[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

[pam-generic]

enabled = false
filter  = pam-generic
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 3


[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2


[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 3


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6



[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log



[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log





[named-refused-udp]

enabled  = false
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

[unitra]

Ich sehe nichts Auffälliges, außer dass Du die Konfiguration auf folgende Zeilen kürzen könntest:

Code: Alles auswählen

[DEFAULT]

ignoreip = 127.0.0.1 192.168.22.5
bantime  = 60
maxretry = 3
backend = polling

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

Der Unterschied zu meiner Konfguration sind 2 - 3 Einträge.

Code: Alles auswählen

[DEFAULT]

ignoreip = 127.0.0.1 172.23.198.0/27
bantime  = 1200
findtime  = 1200
maxretry = 3
backend = auto

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/messages
maxretry = 3

Meine version ist:

Code: Alles auswählen

 fail2ban-client -V
Fail2Ban v0.8.4

Copyright (c) 2004-2008 Cyril Jaquier
Copyright of modifications held by their respective authors.
Licensed under the GNU General Public License v2 (GPL).

Written by Cyril Jaquier <cyril.jaquier@fail2ban.org>.
Many contributions by Yaroslav O. Halchenko <debian@onerussian.com>.

Ich würde an deiner Stelle die Konfiguration "from scratch" schreiben und auf der Seite nachschauen
Schau mal auf der Entwicklerseite nach HOWTO's
http://www.fail2ban.org/wiki/index.php/Main_Page

In einer Shell

Code: Alles auswählen

tail -f /var/log/messages

laufen lassen, in der anderen Shell einloggen, und schauen was die Logs sagen während du geblockt wirst.

[Huck Fin]

So, Fehler gefunden.
Ich hatte noch ossec installiert und dachte, es protokolliert nur.
Hat ein schönes Web-IF mit Protokollierung...
Es funktioniert aber scheinbar ähnlich wie fail2ban.