Fail2Ban funktioniert, wird aber in Keyhelp nicht angezeigt [GELÖST]

[MLan]

Packages nachinstallieren falls nicht vorhanden

Code: Select all

apt install python3-systemd python3-pyinotify

Das ist bei Debian 12.4 ebenfalls nötig, sonst läuft fail2ban nicht

Code: Select all

2024-01-24 11:21:40,020 fail2ban.server         [27087]: INFO    --------------------------------------------------
2024-01-24 11:21:40,020 fail2ban.server         [27087]: INFO    Starting Fail2ban v1.0.2
2024-01-24 11:21:40,027 fail2ban.observer       [27087]: INFO    Observer start...
2024-01-24 11:21:40,035 fail2ban.database       [27087]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2024-01-24 11:21:40,038 fail2ban.database       [27087]: WARNING New database created. Version '4'
2024-01-24 11:21:40,038 fail2ban.jail           [27087]: INFO    Creating new jail 'sshd'
2024-01-24 11:21:40,048 fail2ban.jail           [27087]: ERROR   Backend 'systemd' failed to initialize due to No module named 'systemd'
2024-01-24 11:21:40,049 fail2ban.jail           [27087]: ERROR   Failed to initialize any backend for Jail 'sshd'
2024-01-24 11:21:40,049 fail2ban.transmitter    [27087]: ERROR   Command ['server-stream', [['set', 'syslogsocket', 'auto'], ['set', 'loglevel', 'INFO'], ['set', 'logtarget', '/var/log/fail2ban.log'], ['set', 'allowipv6', 'a>
2024-01-24 11:21:40,049 fail2ban                [27087]: ERROR   NOK: ("Failed to initialize any backend for Jail 'sshd'",)
2024-01-24 11:21:40,050 fail2ban.server         [27087]: INFO    Shutdown in progress...
2024-01-24 11:21:40,050 fail2ban.observer       [27087]: INFO    Observer stop ... try to end queue 5 seconds
2024-01-24 11:21:40,070 fail2ban.observer       [27087]: INFO    Observer stopped, 0 events remaining.
2024-01-24 11:21:40,110 fail2ban.server         [27087]: INFO    Stopping all jails
2024-01-24 11:21:40,110 fail2ban.database       [27087]: INFO    Connection to database closed.
2024-01-24 11:21:40,311 fail2ban.server         [27087]: INFO    Exiting Fail2ban
2024-01-24 11:23:09,675 fail2ban.server         [841]: INFO    --------------------------------------------------

[Alexander]

Das ist bei Debian 12.4 ebenfalls nötig, sonst läuft fail2ban nicht

Ich installiere es künftig immer mit. Auf allen meinen Systemen wird das immer als Abhängigkeit automatisch installiert - ich geb es künftig explizit an.

[MLan]

Das ist bei Debian 12.4 ebenfalls nötig, sonst läuft fail2ban nicht

Ich installiere es künftig immer mit. Auf allen meinen Systemen wird das immer als Abhängigkeit automatisch installiert - ich geb es künftig explizit an.

Super. Danke.

Das war übrigens ein Hetzner Cloud Server
Debian12 Neuinstallation

[blickgerecht]

Bei mir (Debian 11.8, Keyhelp 23.2.1) lief fail2ban auch nicht richtig. Es handelt sich auch um einen Cloud-Server bei Hetzner.

Ich habe es auch mit folgendem Code nachinstalliert:

Code: Select all

apt install python3-systemd python3-pyinotify

Die Einstellungen in /etc/fail2ban/jail.conf lauten auch, wie empfohlen:

Code: Select all

backend = auto
usedns = warn

Wenn ich keine Anpassungen vornehmen möchte, muss ich dann auch die jail.local erstellen mit:

Code: Select all

cp -p /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Oder kann ich diesen Schritt auch sein lassen? Wie wäre es denn von Keyhelp im default vorgesehen, wenn wir davon ausgehen, dass fail2ban von Beginn an richtig installiert gewesen wäre?

Folgende Warnungen werden mir in angezeigt, ist das bedenklich?

Code: Select all

2024-01-26 20:32:41,258 fail2ban.filter         [3134216]: WARNING [sshd] Simulate NOW in operation since found time has too large deviation 1706297241.810711 ~ 1706297561.2584972 +/- 60
2024-01-26 20:32:41,258 fail2ban.filter         [3134216]: WARNING [sshd] Please check jail has possibly a timezone issue. Line with odd timestamp: ('', '2024-01-26T20:27:21.810711', 'keyhelp.example.com sshd[3133816]: Accepted password for XXX from X.X.X.X port 39125 ssh2')

[Alexander]

Wie wäre es denn von Keyhelp im default vorgesehen, wenn wir davon ausgehen, dass fail2ban von Beginn an richtig installiert gewesen wäre?

Die einzelnen Schritte können über das /var/log/keyhelp/install.log nachvollzogen werden.

Zusammengefasst reichte bislang immer:

[STAND: KeyHelp 23.2.1]

Code: Select all

apt-get install -y fail2ban
systemctl enable fail2ban
chown keyhelp:keyhelp /etc/fail2ban/jail.d/keyhelp.local
service fail2ban restart

Und zwischendurch noch die Konfigurationsdateien schreiben:

Code: Select all

/etc/fail2ban/jail.d/keyhelp.local
/etc/fail2ban/filter.d/keyhelp-mariadb.conf
/etc/fail2ban/filter.d/keyhelp-phpmyadmin.conf

Die jail.conf fasse ich in der Installation garnicht an.

[blickgerecht]

D.h. der vorher genannte Schritt

Code: Select all

cp -p /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

ist gar nicht nötig, wenn ich nicht manuell etwas anpassen möchte?


Wie gesagt, bei mir war auch nötig das hier nach zu installieren (fail2ban-client status sshd lieferte kein Ergebnis):

Code: Select all

apt install python3-systemd python3-pyinotify

Diese Datei gibt es bei mir nicht:

Code: Select all

/etc/fail2ban/filter.d/keyhelp-mariadb.conf

Hier auch der Ausschnitt aus dem Install-Log (installiert am 29. Januar, Keyhelp 23.2 damals, anschließend geupdatet):

Code: Select all

================================================================================
  Fail2ban
================================================================================

  exec  | apt-get install -y fail2ban
          Reading package lists...
          Building dependency tree...
          Reading state information...
          Suggested packages:
            mailx monit sqlite3
          Recommended packages:
            whois python3-pyinotify python3-systemd
          The following NEW packages will be installed:
            fail2ban
          0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
          Need to get 451 kB of archives.
          After this operation, 2,142 kB of additional disk space will be used.
          Get:1 http://deb.debian.org/debian bullseye/main amd64 fail2ban all 0.11.2-2 [451 kB]
          Fetched 451 kB in 0s (11.5 MB/s)
          Selecting previously unselected package fail2ban.
          (Reading database ... ^M(Reading database ... 5%^M(Reading database ... 10%^M(Reading database ... 15%^M(Reading database ... 20%^M(Reading database ... 25%^M(Readin>
          Preparing to unpack .../fail2ban_0.11.2-2_all.deb ...
          Unpacking fail2ban (0.11.2-2) ...
          Setting up fail2ban (0.11.2-2) ...
          Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /lib/systemd/system/fail2ban.service.
          Processing triggers for man-db (2.9.4-2) ...
  exec  | systemctl enable fail2ban
          Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
          Executing: /lib/systemd/systemd-sysv-install enable fail2ban

  files | fail2ban/jail.d/keyhelp.local => /etc/fail2ban/jail.d/keyhelp.local
  files | fail2ban/filter.d/keyhelp-phpmyadmin.conf => /etc/fail2ban/filter.d/keyhelp-phpmyadmin.conf

  exec  | chown keyhelp:keyhelp /etc/fail2ban/jail.d/keyhelp.local
  exec  | service fail2ban restart

Auch in der Verwaltung ist nichts von "keyhelp-mariadb" zu sehen:

Folgenden Warnungen sehe ich beim Neustart von fail2ban immer noch. Ist das bedenklich?

Code: Select all

2024-01-29 09:57:13,911 fail2ban.filter         [3383319]: WARNING [sshd] Simulate NOW in operation since found time has too large deviation 1706518407.804232 ~ 1706518633.9111397 +/- 60
2024-01-29 09:57:13,911 fail2ban.filter         [3383319]: WARNING [sshd] Please check jail has possibly a timezone issue. Line with odd timestamp: ('', '2024-01-29T09:53:27.804232', 'panel.example.com sshd[3383020]: pam_unix(sshd:session): session opened for user keyhelp_benutzer(uid=5001) by (uid=0)')
2024-01-29 09:57:13,940 fail2ban.filter         [3383319]: WARNING [keyhelp-proftpd] Simulate NOW in operation since found time has too large deviation 1706518455.585497 ~ 1706518633.9405668 +/- 60
2024-01-29 09:57:13,940 fail2ban.filter         [3383319]: WARNING [keyhelp-proftpd] Please check jail has possibly a timezone issue. Line with odd timestamp: ('', '2024-01-29T

Für mich nur wichtig: Funktioniert fail2ban nun korrekt? Bzw. hättet ihr einen Tipp, wie ich das prüfen kann?

Danke schonmal für die Hilfe!

[Alexander]

Diese Datei gibt es bei mir nicht:

Code: Select all

/etc/fail2ban/filter.d/keyhelp-mariadb.conf

Sorry, mein Fehler, das war schon ein Teil der neuen KeyHelp Version 24.0. Die Datei kann es bei dir noch nicht geben.

[blickgerecht]

OK, danke. Das beruhigt mich

D.h. aber der o.g. Schritt

Code: Select all

apt install python3-systemd python3-pyinotify

war erstmal richtig und notwendig, da Du das ja in Zukunft immer mit installieren willst automatisch, wenn ich richtig verstanden habe?

Und d.h. ich kann die Datei

Code: Select all

/etc/fail2ban/jail.local

einfach wieder löschen, sie ist kein Teil der Standard-Installation?

Die genannten Warnungen scheinen häufig vorzukommen, so wie ich bei Github gelesen habe und sie sind m.E. nicht von Bedeutung (vielleicht sucht ja jmd. hier noch danach.