Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
-
svensk
- Beiträge: 5
- Registriert: 21.08.2008 12:34:12
Beitrag
von svensk » 30.11.2008 14:18:24
Hallo
ich habe mir auf Server fail2ban installiert und der arbeitet soweit, nur steht im Logfile (/var/log/fail2ban.log) folgende Error Meldung
Code: Alles auswählen
...
2008-11-30 06:25:32,830 fail2ban.filter : INFO Added logfile = /var/log/mail.log
2008-11-30 06:25:32,830 fail2ban.filter : INFO Set maxRetry = 5
2008-11-30 06:25:32,831 fail2ban.filter : INFO Set failregex = warning: [-._w]+[(?:::f{4,6}:)?(?P<host>\S+)]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed
2008-11-30 06:25:32,831 fail2ban.filter : INFO Set findtime = 600
2008-11-30 06:25:32,832 fail2ban.actions: INFO Set banTime = 600
2008-11-30 06:25:32,832 fail2ban.filter : INFO Set ignoreregex =
2008-11-30 06:25:32,833 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2008-11-30 06:25:32,833 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
2008-11-30 06:25:32,834 fail2ban.actions.action: INFO Set actionStart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> --dport <port> -j fail2ban-<name>
2008-11-30 06:25:32,834 fail2ban.actions.action: INFO Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2008-11-30 06:25:32,835 fail2ban.actions.action: INFO Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2008-11-30 06:25:32,840 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
2008-11-30 06:25:32,840 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
2008-11-30 06:25:32,840 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
...
leider habe ich keine Ahnung was es zu bedeuten hat bzw was ich dagegen tun muss und kann.
wäre sehr für Infos dankbar!
Gruß
Sven
-
svensk
- Beiträge: 5
- Registriert: 21.08.2008 12:34:12
Beitrag
von svensk » 02.12.2008 16:26:51
weiss es keiner?
-
ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Beitrag
von ckoepp » 02.12.2008 21:23:56
Offensichtlich ist dein regulärer Ausdruck in fail2ban falsch...kannst du einfach in vim durchtesten.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
-
svensk
- Beiträge: 5
- Registriert: 21.08.2008 12:34:12
Beitrag
von svensk » 06.12.2008 16:28:13
wie?
habe festgestellt dass die meldung nur dann kommt wenn es auch auf ssh ein "angriff" war...
logwatch spuckt mir dass immer aus
Code: Alles auswählen
letzter mal...
Banned services with Fail2Ban: Bans:Unbans
ssh: [ 1:1 ]
88.191.93.236 (sd-15949.dedibox.fr) 1:1
**Unmatched Entries**
2008-12-05 04:03:47,536 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
2008-12-05 04:03:47,536 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
2008-12-05 04:03:55,559 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
2008-12-05 04:03:56,560 fail2ban.filter : ERROR There is no 'host' group in the rule. Please correct your configuration.
...
-
ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Beitrag
von ckoepp » 06.12.2008 19:30:07
Also ich setze fail2ban nicht ein....warum hatten wir gerade letzte Woche erst wieder
Wenn Du unbedingt per
regulären Ausdrucken suchen willst, dann solltest Du verstehen was genau fail2ban tut. Wenn Du vim nicht kannst, dann gibts auch
Online-Tests. Aber das ist die Gelegenheit vi(m) kennen zulernen, also überlegs dir
Auf jeden Fall ist etwas an deiner Konfiguration falsch. Ich tippe schwer auf einen regulären Ausdruck in deiner ssh-config - da muss es irgendwo in /etc/fail2ban oder so eine Datei für geben.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
-
svensk
- Beiträge: 5
- Registriert: 21.08.2008 12:34:12
Beitrag
von svensk » 06.12.2008 20:43:25
mit vim kenne ich mich aus ich weiß nur nicht was ich da jetzt machen.
die "regulären Ausdrucken" dateien habe ich gefunden und eigentlich habe ich da nie was gemacht.
fail2ban wurde installiert und eine neue datei "
/etc/fail2ban/jail.local" geschrieben (die /etc/fail2ban/jail.conf wurde nicht gelöscht!)
und in
/etc/fail2ban/jail.local steht
Code: Alles auswählen
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3
# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = polling
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost
# Default action to take: ban only
action = iptables[name=%(__name__)s, port=%(port)s]
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
[apache]
enabled = true
port = http
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 5
[apache-noscript]
enabled = false
port = http
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 5
[proftpd]
enabled = true
port = ftp
filter = proftpd
logpath = /var/log/auth.log
failregex = proftpd: (pam_unix) authentication failure; .* rhost=<HOST>
maxretry = 5
[postfix]
enabled = false
port = smtp
filter = postfix
logpath = /var/log/mail.log
maxretry = 5
[courierpop3]
enabled = true
port = pop3
filter = courierlogin
failregex = courierpop3login: LOGIN FAILED.*ip=[.*:<HOST>]
logpath = /var/log/mail.log
maxretry = 5
[courierimap]
enabled = true
port = imap2
filter = courierlogin
failregex = imapd: LOGIN FAILED.*ip=[.*:<HOST>]
logpath = /var/log/mail.log
maxretry = 5
[sasl]
enabled = true
port = smtp
filter = sasl
failregex = warning: [-._w]+[<HOST>]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed
logpath = /var/log/mail.log
maxretry = 5
habe ich die fahle howto gelesen?
