Firewall Konfiguration und Start  [GELÖST]

Locked
User avatar
emha
Posts: 6
Joined: Fri 12. Jun 2020, 18:27
Location: CCAA

Firewall Konfiguration und Start  [GELÖST]

Post by emha »

System: root-server, Debian 10.5 (64-bit), KeyHelp 20.3.2 (Build 2131)

Das Schreiben der Konfiguration und das Starten der Firewall schlägt fehl.

Zur Konfiguration:

U.A. Fehlermeldung unter auth.log:

Code: Select all

sudo: pam_unix(sudo:auth): auth could not identify password for [keyhelp]
sudo:  keyhelp : command not allowed ; TTY=unknown ; PWD=/home/keyhelp/www/keyhelp ; USER=root ; COMMAND=/usr/sbin/iptables-save
[und weitere für iptables-restore, ip6tables-save, ip6tables-restore]

Nach Hinzufügen von:

Code: Select all

keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-save, /usr/sbin/iptables-restore, /usr/sbin/ip6tables-save, /usr/sbin/ip6tables-restore 
in /etc/sudoers.d/keyhelp
wurde die Konfiguration wurde unter /etc/keyhelp/iptables/startup_rules_ipv4 und /etc/keyhelp/iptables/startup_rules_ipv6 geschrieben.

Zum Start:

Das Starten der Firewall unter Keyhelp schlägt allerdings in der Weise fehl, als dass der Status als „Deaktiviert" angezeigt wird, obwohl iptables läuft. Auch werden die Richtlinien für eingehenden, ausgehenden und weitergeleiteten Traffic allesamt als „Zulassen" angezeigt.

Aktiviere ich die Firewall über das Statusfeld, werden die aktuellen Richtlinien (z.B. die durch fail2ban hinzugefügten) gelöscht und Keyhelp zeigt nur eine leere Seite. Der Server ist aber über alle erlaubten Ports erreichbar (http(s), imap, smtp, ssh,...)

Weiteres:
/var/log/keyhelp/php-error.log:

Code: Select all

PHP Warning:  file_put_contents(/etc/fail2ban/jail.d/keyhelp.local): failed to open stream: Permission denied in /home/keyhelp/www/keyhelp/core
PHP Warning:  chown(): Operation not permitted in /home/keyhelp/www/keyhelp/core/pending/File.php on line 358
PHP Warning:  chgrp(): Operation not permitted in /home/keyhelp/www/keyhelp/core/pending/File.php on line 359
PHP Fatal error:  Could not save file "/etc/fail2ban/jail.d/keyhelp.local" in /home/keyhelp/www/keyhelp/core/Firewall/Iptables.php on line 609
/etc/fail2ban/jail.d/keyhelp.local root:root 0644

Ich möchte nicht weiter in das Keyhelp-System eingreifen; für Vorschläge wäre ich aber dankbar.

emha
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Firewall Konfiguration und Start

Post by Alexander »

Liefen alle Panel-Updates bisher sauber durch, oder wurde irgendwann mal auf einem Server ein Backup eingespielt?
Normalerweise wurden die Dateiberechtigungen der Datei /etc/fail2ban/jail.d/keyhelp.local sowie der Eintrag in der sudoers durch das Update auf 20.3 durchgeführt.

Deine /etc/sudoers.d/keyhelp sollte folgendermaßen aussehen:

Code: Select all

# Manage system services
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/service

# Mail queue management
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/postsuper

# Server reboot
keyhelp ALL = (ALL) NOPASSWD: /sbin/reboot

# Process management
keyhelp ALL = (ALL) NOPASSWD: /bin/kill

# Disk usage
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/du
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/test

# Firewall
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables, /sbin/iptables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-restore, /sbin/iptables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-save, /sbin/iptables-save
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables, /sbin/ip6tables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-restore, /sbin/ip6tables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-save, /sbin/ip6tables-save

# Last line must be empty, do not trim!
Bitte auch einmal die fragliche Datei /etc/fail2ban/jail.d/keyhelp.local dem User + der Gruppe "keyhelp" geben.

Anschließend bitte noch einmal probieren.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
emha
Posts: 6
Joined: Fri 12. Jun 2020, 18:27
Location: CCAA

Re: Firewall Konfiguration und Start

Post by emha »

Hallo Alexander,
ja, alle Updates liefen ohne erkennbare Fehler durch:

Code: Select all

KeyHelp wurde auf Version 20.3 aktualisiert.
Donnerstag, 29. Oktober 2020 - 02:12:32

Bitte beachten Sie:
Es wurde ein Cronjob installiert, um das automatische Training Ihrer Spamfilter zu aktivieren und so die Filterung von E-Mails auf Spam zu verbessern. Sie können die Einstellung über die E-Mail-Server-Einstellungen rückgängig machen.

KeyHelp wurde auf Version 20.3.1 aktualisiert.
Mittwoch, 04. November 2020 - 02:07:25

KeyHelp wurde auf Version 20.3.2 aktualisiert.
Mittwoch, 03. Februar 2021 - 02:16:10
Nach der Anpassung der /etc/sudoers.d/keyhelp scheint alles zu laufen! (Hab' ich doch ip(6)tabels an sich vergessen...)
Warum das Update allerdings nicht alles erfasst hat bleibt offen - ich fasse normalerweise keine Dateien der Control-Panels an.

Aber erst mal Danke und ich schaue die Logs weiter durch.

Gruß aus Köln,
emha
User avatar
emha
Posts: 6
Joined: Fri 12. Jun 2020, 18:27
Location: CCAA

Re: Firewall Konfiguration und Start

Post by emha »

Also...

Ich habe soweit keine Auffälligkeiten in den Logs gefunden, was da nun genau schief lief.

Von mir aus kann das Thema geschlossen/als Gelöst markiert werden.

Gruß,
emha
Locked