[Erledigt ]SSH Zugriff trotz Fail2Ban ban

[varion]

Hallo,
Zur Absicherung eines Webservers habe ich Fail2Ban installiert. Nachdem ich mich testweise ein paar Mal mit falschem Namen angemeldet habe, wurde ich wie erwartet gebannt:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2022
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  tmo-108-196.customers.d1-online.com  anywhere
RETURN     all  --  anywhere             anywhere

Trotzdem funktiniert der Login noch immer. Ich werde trotz iptables-Eintrag nicht gesperrt. Hat jemand eine Erklärung dafür?

Hier noch ein Auszug aus der jail.conf:

Code: Alles auswählen

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
bantime  = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = auto

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = info@{domain}

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Vielen Dank vorab für eure Hinweise.

[slu]

Code: Alles auswählen

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  tmo-108-196.customers.d1-online.com  anywhere

Was ist denn das für ein Zugang? Kommt das vom Mobiltelefon/UMTS Stick?

Wenn ja sicher das Du unter der selben IP unterwegs bist, da sitzt man meistens hinter einem Proxy der auch mal wechselt...

[varion]

Korrekt, es ist eine LTE-Verbindung. Meine IP hat sich während des Tests allerdings nicht geändert.

[slu]

Oh hab ich glatt übersehen, Willkommen im Forum.

Zu deiner Frage, da muss ich passen. Ich sehen in den IPTables keinen Fehler und die Verbindungen müssten eigentlich blockiert werden.
Selber läuft das bei mir ohne Probleme.

[varion]

Vielen Dank für die Willkommensgrüße,
ich bin begeistert, wie schnell ich hier im Forum eine Antwort bekommen habe.

Vielleicht findet sich ja auch noch jemand, der eine Idee bezüglich meines Problems hat.

[varion]

Nur um Fehler auszuschließen, habe ich es noch einmal mit einer statischen IP versucht. Zugriff ist leider weiterhin möglich.

auth.log:

Code: Alles auswählen

Aug  1 18:22:09 v22014072304419597 sshd[3026]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:22:09 v22014072304419597 sshd[3026]: input_userauth_request: invalid user frankdfb [preauth]
Aug  1 18:22:09 v22014072304419597 sshd[3026]: Received disconnect from 87.139.236.126: 14: No supported authentication methods available [preauth]
Aug  1 18:22:31 v22014072304419597 sshd[3028]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:22:31 v22014072304419597 sshd[3028]: input_userauth_request: invalid user frankdfb [preauth]
Aug  1 18:22:32 v22014072304419597 sshd[3028]: Received disconnect from 87.139.236.126: 14: No supported authentication methods available [preauth]
Aug  1 18:22:49 v22014072304419597 sshd[3030]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:22:49 v22014072304419597 sshd[3030]: input_userauth_request: invalid user frankdfb [preauth]
Aug  1 18:22:50 v22014072304419597 sshd[3030]: Received disconnect from 87.139.236.126: 14: No supported authentication methods available [preauth]
Aug  1 18:22:56 v22014072304419597 sshd[3037]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:22:56 v22014072304419597 sshd[3037]: input_userauth_request: invalid user frankdfb [preauth]
Aug  1 18:22:56 v22014072304419597 sshd[3037]: Received disconnect from 87.139.236.126: 14: No supported authentication methods available [preauth]
Aug  1 18:23:03 v22014072304419597 sshd[3039]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:23:03 v22014072304419597 sshd[3039]: input_userauth_request: invalid user frankdfb [preauth]
Aug  1 18:23:03 v22014072304419597 sshd[3039]: Received disconnect from 87.139.236.126: 14: No supported authentication methods available [preauth]
Aug  1 18:23:24 v22014072304419597 sshd[3041]: Invalid user frankdfb from 87.139.236.126
Aug  1 18:23:24 v22014072304419597 sshd[3041]: input_userauth_request: invalid user frankdfb [preauth]

iptables:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2022
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  p578bec7e.dip0.t-ipconnect.de  anywhere
RETURN     all  --  anywhere             anywhere

fail2ban.log

Code: Alles auswählen

2014-08-01 18:22:50,760 fail2ban.actions: WARNING [ssh] Ban 87.139.236.126
2014-08-01 18:23:26,811 fail2ban.actions: WARNING [ssh] 87.139.236.126 already banned

[a.jakob]

Servus und willkommen...

in der iptables regel steht ja der dns name.. klappt die dns auflösung auch sauber? sprich bekommste zu den dort eingetragenen host auch die passende ip adresse? sollte eigentlich wie es die logs zeigen.. aber sicher ist sicher..

Mein nächster ansatz wäre:
was passiert wenn du händisch per iptables die anfragen von deiner ip adresse blockst?
achja bedenke bitte das die händische regel nicht automatisch nach 600sekunden gelöscht wird

was sagt eigentlich syslog dazu ?

EDIT: grad nochmal drübergeschaut.. auf welchen port haste sshd laufen? im fail2ban steht als port ssh sprich er erwartet auch port 22 haste den umgelegt, sollte da der richtige port eingetragen werden..

mfg

andre

[varion]

grad nochmal drübergeschaut.. auf welchen port haste sshd laufen? im fail2ban steht als port ssh sprich er erwartet auch port 22 haste den umgelegt, sollte da der richtige port eingetragen werden...

Hallo Andre,
vielen Dank für diesen letzten Hinweis. Das ist es gewesen! Ich hatte den SSH Port geändert und mir keine Gedanken darüber gemacht, dass Fail2Ban die ganze Zeit auf Port 22 lauscht.

Manchmal ist es so einfach.

Vielen Dank und ein schönes Wochenende an alle.

[Cae]

dass Fail2Ban die ganze Zeit auf Port 22 lauscht.

Fast richtig. fail2ban guckt nur auf die Logfiles, sperrt aber bei erfuellten Bedingungen den Port 22. Bringt natuerlich nix, wenn der SSHd woanders zuhause ist.

Gruss Cae