Globales Access Log | fail2ban [GELÖST]
Globales Access Log | fail2ban
Servus,
ich würde gerne mit fail2ban die fail logins bei einem verzeichnisschutz überwachen -> die accesslogs der einzelnen hosts werden ja im /home/users/host/logs verwaltet -> nun möchte ich ungern jede v-host config um einen neuen log pfad erweitern noch jeden einzelnen access-log pfad der hosts in meine jail config übernehmen.
-> kann ich keyhelp irgendwo sagen, dass es jedem neuen vhost beim anlegen noch einen zusätzlichen accesslog pfad gibt
oder
kann ich meinem apache irgendwo sagen, dass er zu den einstellungen in den vhosts noch ein zusätzliches globales accesslog führt?
Danke
ich würde gerne mit fail2ban die fail logins bei einem verzeichnisschutz überwachen -> die accesslogs der einzelnen hosts werden ja im /home/users/host/logs verwaltet -> nun möchte ich ungern jede v-host config um einen neuen log pfad erweitern noch jeden einzelnen access-log pfad der hosts in meine jail config übernehmen.
-> kann ich keyhelp irgendwo sagen, dass es jedem neuen vhost beim anlegen noch einen zusätzlichen accesslog pfad gibt
oder
kann ich meinem apache irgendwo sagen, dass er zu den einstellungen in den vhosts noch ein zusätzliches globales accesslog führt?
Danke
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Globales Access Log | fail2ban
Wieso das rad neu erfinden , erstell doch eine entsprechende F2B config.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Globales Access Log | fail2ban
naja so wie ich das verstanden habe, sucht fail2ban doch nur in den logs, den ich den einzelnen jails gebe, nach fehlverhalten und sperrt dann die ip oder?
Das heißt ja jetzt, dass ich jedes /home/users/log in meine jail config packen muss also so in etwa:
jail.local
[mySuperAccessJail]
bla bla
logpath=/home/users/user1/log/access.log
logpath=/home/users/user2/log/access.log
logpath=/home/users/user3/log/access.log
und dass muss ich dann immer neu erweitern, wenn ich einen neuen user habe - wenn ich mich nicht irre.
Und einfach umgehen könnte ich das doch mit einem globalen log, so dass ich mein jail so definieren kann;
jail.local
[mySuperAccessJail]
bla bla
logpath=globalAccess.log
-> so kann er dann von jedem vhost die fail logins sehen und sperren oder?
Das heißt ja jetzt, dass ich jedes /home/users/log in meine jail config packen muss also so in etwa:
jail.local
[mySuperAccessJail]
bla bla
logpath=/home/users/user1/log/access.log
logpath=/home/users/user2/log/access.log
logpath=/home/users/user3/log/access.log
und dass muss ich dann immer neu erweitern, wenn ich einen neuen user habe - wenn ich mich nicht irre.
Und einfach umgehen könnte ich das doch mit einem globalen log, so dass ich mein jail so definieren kann;
jail.local
[mySuperAccessJail]
bla bla
logpath=globalAccess.log
-> so kann er dann von jedem vhost die fail logins sehen und sperren oder?
- Jolinar
- Community Moderator
- Posts: 3595
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Globales Access Log | fail2ban
Probier mal:
Code: Select all
logpath=/home/users/*/log/access.log
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Globales Access Log | fail2ban
Genau so dachte ich es mir mit Platzhalter arbeiten ggf in die F2B Doku schauenJolinar wrote: ↑Thu 21. Feb 2019, 20:37Probier mal:Code: Select all
logpath=/home/users/*/log/access.log
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
- Jolinar
- Community Moderator
- Posts: 3595
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Globales Access Log | fail2ban
Hier noch die zugehörige Referenz:
5-jail.conf
logpath
filename(s) of the log files to be monitored, separated by new lines. Globs -- paths containing * and ? or [0-9] -- can be used however only the files that exist at start up matching this glob pattern will be considered.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Globales Access Log | fail2ban
ich danke euch, nachdem ich das richtige log /error.log angesprochen habe, funktioniert es ich wusste gar nicht das fail2ban wildcards zulässt, das macht es wirklich einfacher danke.
jetzt habe ich aber ein neues Problem, durch das kürzen der IP´s loggt das error.log nur die halbe ip z.b. 192.168.0.0 wenn ich die jetzt banne bringt mir das nicht viel.
Ich habe im KeyHelp admin bereich eingestellt, dass die IP´s erst nach einer weile anonymisiert werden, im Benutzeraccount jedoch die anonymisierung ein geschaltet, sodass die ip´s direkt gekürzt werden. Als Datenschützer finde ich das super, als admin furchtbar -> an der stelle fände ich ein globales errorlog doch wieder sinnvoll. Auf diesem Wege könnten die User Ihre eigenen Logs gerne kürzen, der Provider bzw der admin, also wir können dennoch die notwendigen Schutzmaßnahmen ergreifen und ips sperren
Oder wie macht ihr das?
jetzt habe ich aber ein neues Problem, durch das kürzen der IP´s loggt das error.log nur die halbe ip z.b. 192.168.0.0 wenn ich die jetzt banne bringt mir das nicht viel.
Ich habe im KeyHelp admin bereich eingestellt, dass die IP´s erst nach einer weile anonymisiert werden, im Benutzeraccount jedoch die anonymisierung ein geschaltet, sodass die ip´s direkt gekürzt werden. Als Datenschützer finde ich das super, als admin furchtbar -> an der stelle fände ich ein globales errorlog doch wieder sinnvoll. Auf diesem Wege könnten die User Ihre eigenen Logs gerne kürzen, der Provider bzw der admin, also wir können dennoch die notwendigen Schutzmaßnahmen ergreifen und ips sperren
Oder wie macht ihr das?
Re: Globales Access Log | fail2ban
Hallo,
also doppelt loggen dürfte, speziell bei gut besuchten Seiten, erheblich auf die I/O Performance gehen. Speziell wenn zudem noch die sofortige Anonymisierung aktiv ist.
also doppelt loggen dürfte, speziell bei gut besuchten Seiten, erheblich auf die I/O Performance gehen. Speziell wenn zudem noch die sofortige Anonymisierung aktiv ist.
Viele Grüße,
Martin
Martin
Re: Globales Access Log | fail2ban
das stimmt schon. ich meine wenn man das keyhelp als admin allein bedient ist es ja kein Problem. Wenn jedoch die Endkunden selbst im Keyhelp basteln, dann die anonymisierung anschalten kann man ja als admin schlecht kommen und sagen "mach das mal bitte aus ich will bruteforcende ip´s sperren"
Re: Globales Access Log | fail2ban [GELÖST]
Du müsstest in dem Fall den Button auf der Dashboard-Seite verstecken.
1.)
In den Datenschutzeinstellungen (Adminbereich -> Konfiguration -> Datenschutz) nur "Anonymisierung nach Rotation der Protokolldateien" anhaken.
2)
Folgenden JS-Code unter den Whitelabel-Einstellungen bei "Alle Sprachen" hinterlegen
(versteckt den Button)
3) (optional)
Ggf. haben einige Nutzer die Option schon aktiv, dann setzt du für alle Nutzer in der Datenbank `keyhelp`.`users` die Spalte `anonymize_ips` einmalig auf den Wert "0"
Anschließend noch einmal die Webserver-Konfiguration neu schreiben lassen mit dem Aufruf des Scripts:
1.)
In den Datenschutzeinstellungen (Adminbereich -> Konfiguration -> Datenschutz) nur "Anonymisierung nach Rotation der Protokolldateien" anhaken.
2)
Folgenden JS-Code unter den Whitelabel-Einstellungen bei "Alle Sprachen" hinterlegen
(versteckt den Button)
Code: Select all
// remove anonymize ip button on user dashboard
// check, if we are on user dashboard page
if (window.location.href.indexOf('page=user_dashboard') !== -1)
{
// store parent container of the element we want to remove
var $parentContainer = $('#content > div.columns > div:nth-child(1) > div.card.has-margin-top-large > div.card-content');
// use reverse order to ensure that the correct items are removed
// button
$parentContainer.find('a:nth-child(7)').remove();
// spacer div
$parentContainer.find('div:nth-child(6)').remove();
// description text
$parentContainer.find('p:nth-child(5)').remove();
}
Ggf. haben einige Nutzer die Option schon aktiv, dann setzt du für alle Nutzer in der Datenbank `keyhelp`.`users` die Spalte `anonymize_ips` einmalig auf den Wert "0"
Anschließend noch einmal die Webserver-Konfiguration neu schreiben lassen mit dem Aufruf des Scripts:
Code: Select all
php /home/keyhelp/www/keyhelp/bin/rewrite_user_configs.php
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Globales Access Log | fail2ban
Datenschutzeinstellungen von Kunden zu ändern, ggf. sogar ohne dass diese es mitbekommen, halte ich für ein gewagtes Unterfangen...
Gruß
Jan
This message has been ROT-13 encrypted twice for higher security.
Re: Globales Access Log | fail2ban
Das liegt ja an ihm, wie er es kommuniziert. Ich zeige ihm nur den Weg, gehen muss/kann er ihn selbst .
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Globales Access Log | fail2ban
danke für die Antwort und die Lösung meines Problemes
Dennoch möchte ich noch etwas Bohren bzw. Nachfragen.
Irgendwie bekomme ich das Gefühl, dass ich zu viel Wert auf das Sperren der IP´s lege, wenn Ihr zum Beispiel euren Usern die sofortige Anonymsierung erlaubt, so könnt Ihr ja auch nicht jeden Bruteforce abfangen, wollt Ihr das nicht? - ich Frage rein Interessehalber und möchte wirklich niemand auf die Füße treten
Dennoch möchte ich noch etwas Bohren bzw. Nachfragen.
Irgendwie bekomme ich das Gefühl, dass ich zu viel Wert auf das Sperren der IP´s lege, wenn Ihr zum Beispiel euren Usern die sofortige Anonymsierung erlaubt, so könnt Ihr ja auch nicht jeden Bruteforce abfangen, wollt Ihr das nicht? - ich Frage rein Interessehalber und möchte wirklich niemand auf die Füße treten
Re: Globales Access Log | fail2ban
Das bedingt, das man das mit Fail2Ban macht - dann kommt man um die IP-Adressen in Logfiles nicht rum, das ist wohl war. Ich hab Fail2Ban deaktiviert und mache das auf Firewall-Ebene. Die arbeitet im Endeffekt natürlich auch mit den IP-Adressen, aber halt bevor der Zugriff durchgereicht wird und überhaupt in irgendwelchen Logfiles auftaucht (wer sich nicht mit den Einzelheiten von IPTables rumschlagen mag - da ist leider die Oberfläche in Keyhelp selber auch nur in den "groben" Fällen - also bei sowas wie z.B. eine IP ganz blocken, aber nicht bei sowas wie ein Rate-Limit auf bestimmte Dienste setzen - hilfreich dem sei z.B. das hier empfohlen: https://configserver.com/cp/csf.html )
Re: Globales Access Log | fail2ban
der tipp ist gut, den link werde ich mir auf jeden fall mal ansehen, die Firewall hatte ich auch erst im Sinn, dachte aber, dass die Fehllogins per se ja nicht erkennt, aber das es da ne login detection gibt hätte ich nicht gedacht.. man lernt halt nie aus
Danke
Danke