Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

[OlliTheDarkness]

Also ich hab mir nie Gedanken um fail2ban gemacht und bin auf den Beitrag gestoßen als ich die log4j rule einbauen wollte.
Die Server sind Debian 9 auf 10 migriert werden aber keine Migration auf 11 mehr machen, da ich auf Ubuntu umgestiegen bin.
Geblockte IPs hatte ich vor der erweiterten Absicherung keine erst nach OlliTheDarkness´s fix läufts bei mir

Schön das mein 2 Jahre alter Artikel noch helfen konnte

[OlliTheDarkness]

Es hat nur 1 Jahr gedauert bis ich bemerkt habe das fail2ban auf meinem Debian nicht funktioniert

Ich habe noch ein Ruleset für die log4j scans hinzugefügt.

Quelle: https://jay.gooby.org/2021/12/13/a-fail ... 2021-44228

f2b-log4j.zip

Kleine Info zum besseren handling.

In der /etc/fail2ban/paths-common.conf die Apache Acccess und Error Logs um die KH Kundenpfade erweitern.

Code: Select all

apache_error_log = /var/log/apache2/*error.log
		   /home/users/*/logs/error.log
	           /var/log/apache2/keyhelp/error.log

apache_access_log = /var/log/apache2/*access.log
		    /home/users/*/logs/access.log
		    /var/log/apache2/keyhelp/other_vhosts_access.log

Und in der /etc/fail2ban/jail.d/log4j-jndi.conf dann einfach nur die Apache Access Log Var setzen.

Code: Select all

logpath = %(apache_access_log)s

Nun auch von mir, eine gute Nacht **gähn**

ZzZzZzZzZzZzZzZzZzZz

[Ralph]

ist das .zip im ersten Post noch aktuell (pfade, rules) oder gibt es derzeit eine aktuellere Konfiguration?
Wenn ich die jail.conf anschaue läuft das ja weiterhin (default) via iptables wenn der nftables Teil nicht verwendet wird - richtig?