Page 1 of 2

Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Wed 14. Aug 2019, 15:42
by OlliTheDarkness
Moin,

ob es sich wirklich um einen Bug handelt oder nur ein dummer Zufall (bei 13 von 15 Servern) ist lasse ich mal offen.

Aufjedenfall solltet ihr mal in die Fail2Ban.log schauen ob ihr dort aktuell vermehrt Error´s habt und ihr feststellt das garnichtmehr gebannt wird.

Sollte dem so sein, seid ihr hier richtig.

Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.

WICHTIG: Wenn ihr eigene Regeln habt, VORHER den Ordner /etc/fail2ban SICHERN !

Code: Select all

service fail2ban stop

apt purge fail2ban

rm /etc/fail2ban -R

apt install nftables fail2ban

service fail2ban stop
Das im Anhang vorhandene Archiv runterladen und in /etc entpacken.
(Inhalt: Ordner: fail2ban, Ordner: nftables -> fail2ban.conf, Datei: nftables.conf)

Jetzt noch der Ordentlichkeit halber in /var/log den Inhalt der fail2ban.log löschen. (NUR DEN INHALT NICHT DIE DATEI)

Code: Select all

service fail2ban start
Und schon läuft F2B wieder einwandfrei und tut was es soll.

Durch die im Archiv vorhandenen F2B Einstellungen sind folgende Gegebenheiten abgesichert:
  • SSH
  • Apache-Auth
(Inkl. aller KeyHelp User Logs)
  • Apache-BadBots
(Inkl. aller KeyHelp User Logs)
  • Apache-FakeGoogleBots
(Inkl. aller KeyHelp User Logs)
  • ProFTPD FTP-Server
  • PostFix
  • Dovecot
  • MySQL Datenbank Server
(Sehr empfohlen wenn ihr den MySQL Server von aussen erreichbar habt)

Falls ihr noch eigene Regeln hattet müsst ihr diese wieder einspielen und nicht vergessen F2B danach neu zu starten.

Hoffe das hilft dem ein oder anderen der auch grad vor seinem F2B Log saß und sich fragt was da grad abgeht :lol:

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 18. Aug 2019, 13:30
by MLan
OlliTheDarkness wrote: Wed 14. Aug 2019, 15:42 Fail2Ban BugFix (Debian 10) und erweiterte Absicherung
Vielen Dank.
Funktioniert 1A

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Fri 13. Sep 2019, 14:52
by derFu
Hallo!
OlliTheDarkness wrote: Wed 14. Aug 2019, 15:42 Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.
Erstmal vielen Dank. Funktioniert!

Allerdings war ich ein wenig irritiert, da ich jetzt nftables und iptables nebeneinander habe. Jedenfalls tauchen die gebannten IPs bei

Code: Select all

iptables -L (-nv)


ebenso auf wie bei

Code: Select all

nft list ruleset
Aber gut, ist ja ein Workaround. Es scheint nicht zu stören. Wahrscheinlich läuft diese Ban-Geschichte irgendwie über iptables zu nftables... ?
Ich muss gestehen, dass ich mich mit der Migration iptables -> nftables noch nicht ausreichend beschäftigt habe.

Dann habe ich noch eine Anmerkung: in meinem Deb 9 gab es in jail.d eine Datei "keyhelp.local" mit dem Inhalt
[DEFAULT]
chain = fail2ban

[keyhelp-phpmyadmin]
enabled = true
port = http,https
filter = keyhelp-phpmyadmin
logpath = /var/log/auth.log
maxretry = 6
und in filter.d analog die keyhelp-phpmyadmin.conf mit den dazugehörigen failregexes, die sich doch vom Jail "phpmyadmin-syslog" unterscheiden. Das Jail sperrte das Login in das phpMyAdmin nach 6 Fehlversuchen und wurde meines Wissens bei der KeyHelp-Installation mit angelegt.
Ich habe die Dateien mal von einem anderen Server wieder eingebaut, das Jail funktioniert - und ich fand das eigentlich auch ganz sinnvoll. Die ist jetzt in dem Archiv nicht mehr enthalten. Dies nur als Hinweis.

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sat 14. Sep 2019, 11:53
by OlliTheDarkness
Moin und danke für die Info.
Ich werde das gerne für Montag updaten damit es wieder im Paket enthalten ist.
Bin leider aktuell unterwegs und erst Sonntag Abend wieder Home.

Gruss Olli

P.s
Was IPTables / NFTables angeht kann ich dir keine genaue Info gegeben, da ich den Fehler damals nur festgestellt habe und mir einfach nur eine funktionierende Lösung gebaut habe.
Mit der Materie tief befasst habe ich mich zu dem Zeitpunkt auch noch nicht.
Es ist eine harmonische Co Existenz xD

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Mon 16. Sep 2019, 18:31
by OlliTheDarkness
PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Tue 24. Sep 2019, 10:21
by passi
Muss sonst irgendetwas beachtet werden? Wie siehts aus, wenn ein KH Update eingespielt wird?!

VG

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Tue 24. Sep 2019, 17:59
by OlliTheDarkness
Das KH Update hat keinen Einfluss auf jegliche F2B Änderungen.
Ausgenommen Alexander sorgt dafür weil es nötig ist.
Was aber ohne großen Hinweiß bzw. vorigem Backuo der Originalen Daten nicht passieren wird ;)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Mon 30. Mar 2020, 14:38
by mills
Hallo!

Hab seit einigen Tagen Buster am Server, und nun das Problem, dass fail2ban mit nftables nicht funktioniert.

Hier ein Log-Auszug aus einem Ban-Versuch:

Code: Select all

2020-03-30 14:11:15,890 fail2ban.filter         [11724]: INFO    [recidive] Found 213.225.0.19 - 2020-03-30 14:11:15
2020-03-30 14:11:15,902 fail2ban.utils          [11724]: Level 39 7fe3f057f4e0 -- exec: iptables -w -N f2b-nextcloud
iptables -w -A f2b-nextcloud -j RETURN
iptables -w -I fail2ban -p tcp -m multiport --dports 80,443 -j f2b-nextcloud
2020-03-30 14:11:15,903 fail2ban.utils          [11724]: ERROR   7fe3f057f4e0 -- stderr: "iptables v1.8.2 (nf_tables): Chain 'fail2ban' does not exist"
2020-03-30 14:11:15,903 fail2ban.utils          [11724]: ERROR   7fe3f057f4e0 -- returned 1
2020-03-30 14:11:15,903 fail2ban.actions        [11724]: ERROR   Failed to execute ban jail 'nextcloud' action 'iptables-multiport' info 
Was könnte da an meiner Config noch falsch sein, dass f2b immer noch mit iptables werkelt?

Lg
Andi

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 25. Oct 2020, 14:17
by technotravel
OlliTheDarkness wrote: Mon 16. Sep 2019, 18:31 PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Hey Olli,

ich hätte mir das gerne mal angesehen, aber mein 7zip kann dein angeheftetes Archiv nicht öffnen :-(

Könntest du es nochmals hochladen, als .zip vielleicht?

Wäre sehr nett - danke!
Chris

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 25. Oct 2020, 23:04
by OlliTheDarkness
technotravel wrote: Sun 25. Oct 2020, 14:17
OlliTheDarkness wrote: Mon 16. Sep 2019, 18:31 PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Hey Olli,

ich hätte mir das gerne mal angesehen, aber mein 7zip kann dein angeheftetes Archiv nicht öffnen :-(

Könntest du es nochmals hochladen, als .zip vielleicht?

Wäre sehr nett - danke!
Chris
Hab es dir einmal als Zip umgelegt ;)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 25. Oct 2020, 23:33
by technotravel
Vielen Dank!

Weiteres Feedback wenn ich es mir angesehen habe!

Guten Start in die Woche wünscht
Chris

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 19. Dec 2021, 10:30
by webfrequent
Es hat nur 1 Jahr gedauert bis ich bemerkt habe das fail2ban auf meinem Debian nicht funktioniert :)

Ich habe noch ein Ruleset für die log4j scans hinzugefügt.

Quelle: https://jay.gooby.org/2021/12/13/a-fail ... 2021-44228
f2b-log4j.zip
added log4j ruleset:
fail2ban/jail.d/log4j-jndi.conf
fail2ban/filter.d/log4j-jndi.conf
(143.99 KiB) Downloaded 160 times

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 19. Dec 2021, 15:10
by tab-kh
Wo lag denn eigentlich der Fehler? Habe den Thread wegen des neuen Beitrags gerade eben gefunden und gleich mal reingeschaut in die fail2ban.log, sowohl bei Debian 10 als auch Debian 11. Alle haben keine Errors in der fail2ban.log und bannen durchaus auch IPs. Insofern gehe ich davon aus, dass der Fehler mittlerweile seitens Fail2Ban (oder Keyhelp) gefixt ist. Die erweiterte Absicherung muss ich mir aber auch noch anschauen.

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 19. Dec 2021, 15:45
by OlliTheDarkness
tab-kh wrote: Sun 19. Dec 2021, 15:10 Wo lag denn eigentlich der Fehler? Habe den Thread wegen des neuen Beitrags gerade eben gefunden und gleich mal reingeschaut in die fail2ban.log, sowohl bei Debian 10 als auch Debian 11. Alle haben keine Errors in der fail2ban.log und bannen durchaus auch IPs. Insofern gehe ich davon aus, dass der Fehler mittlerweile seitens Fail2Ban (oder Keyhelp) gefixt ist. Die erweiterte Absicherung muss ich mir aber auch noch anschauen.
Schon lang gefixxt :lol:

Betraf damals die Umstellung von 9 nach 10 bezüglich NF Tables

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Posted: Sun 19. Dec 2021, 17:20
by webfrequent
Also ich hab mir nie Gedanken um fail2ban gemacht und bin auf den Beitrag gestoßen als ich die log4j rule einbauen wollte.
Die Server sind Debian 9 auf 10 migriert werden aber keine Migration auf 11 mehr machen, da ich auf Ubuntu umgestiegen bin.
Geblockte IPs hatte ich vor der erweiterten Absicherung keine erst nach OlliTheDarkness´s fix läufts bei mir :lol: