Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key  [GELÖST]

Haben Sie einen Bug entdeckt? Teilen Sie es uns mit.
Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Debian 12.4

23.2.1 (Build 3125)

Feb 02 10:15:12 systemd[1]: Started fail2ban.service - Fail2Ban Service.
Feb 02 10:15:13 fail2ban-server[47348]: 2024-02-02 10:15:13,036 fail2ban                [47348]: ERROR   Failed during configuration: Bad value substitution: option 'action' in section 'keyhelp-postfix' contains an interpolation key 'logpath' which is not a valid option name. Raw value: '%(action_mwl)s'
Feb 02 10:15:13 fail2ban-server[47348]: 2024-02-02 10:15:13,045 fail2ban                [47348]: ERROR   Async configuration of server failed
Feb 02 10:15:13 systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCEPTION
Feb 02 10:15:13 systemd[1]: fail2ban.service: Failed with result 'exit-code'.

Funktionierendes Fail2ban

Siehe oben

Habe das System gestern nacht auf Debian 12 gemäss offizieller Anleitung durchgeführt. Fail2ban ist der einzige Prozess welcher sich nicht starten lässt. Ansonnten alles Top.
Im Übrigen finde ich unter /etc/fail2ban mit:
root@mail:/etc/fail2ban# grep -r "keyhelp-postfix" .

lediglich eine Datei mit dem angegebenen String nämlich

da steht aber nichts von einem logpath.
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

der Parameter steht vielleicht bei dir noch in der entsprechenden Filterdatei: /etc/fail2ban/filter.d/postfix.conf

Zum Vergleich - So schaut die Datei auf einem (frischen) Debian 12 aus. Dort steht bei mir zumindest nichts mit logpath, aber bei dir vll.

# Fail2Ban filter for selected Postfix SMTP rejections


# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


_daemon = postfix(-\w+)?/\w+(?:/smtp[ds])?
_port = (?::\d+)?
_pref = [A-Z]{4}

prefregex = ^%(__prefix_line)s<mdpr-<mode>> <F-CONTENT>.+</F-CONTENT>$

# Extended RE for normal mode to match reject by unknown users or undeliverable address, can be set to empty to avoid this:
exre-user = |[Uu](?:ser unknown|ndeliverable address)

mdpr-normal = (?:\w+: (?:milter-)?reject:|(?:improper command pipelining|too many errors) after \S+)
mdre-normal=^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45][50][04] [45]\.\d\.\d+ (?:(?:<[^>]*>)?: )?(?:(?:Helo command|(?:Sender|Recipient) address) rejected: )?(?:Service unavailable|(?:Client host|Command|Data command) rejected|Relay access denied|(?:Host|Domain) not found|need fully-qualified hostname|match%(exre-user)s)\b
            ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-auth = warning:
mdre-auth = ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server| Invalid authentication mechanism)
mdre-auth2= ^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server)
# todo: check/remove "Invalid authentication mechanism" from ignore list, if gh-1243 will get finished (see gh-1297).

# Mode "rbl" currently included in mode "normal", but if needed for jail "postfix-rbl" only:
mdpr-rbl = %(mdpr-normal)s
mdre-rbl  = ^%(_pref)s from [^[]*\[<HOST>\]%(_port)s: [45]54 [45]\.7\.1 Service unavailable; Client host \[\S+\] blocked\b

# Mode "rbl" currently included in mode "normal" (within 1st rule)
mdpr-more = %(mdpr-normal)s
mdre-more = %(mdre-normal)s

# Includes some of the log messages described in
# <>.
mdpr-ddos = (?:lost connection after(?! DATA) [A-Z]+|disconnect(?= from \S+(?: \S+=\d+)* auth=0/(?:[1-9]|\d\d+))|(?:PREGREET \d+|HANGUP) after \S+|COMMAND (?:TIME|COUNT|LENGTH) LIMIT)
mdre-ddos = ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-extra = (?:%(mdpr-auth)s|%(mdpr-normal)s)
mdre-extra = %(mdre-auth)s

mdpr-aggressive = (?:%(mdpr-auth)s|%(mdpr-normal)s|%(mdpr-ddos)s)
mdre-aggressive = %(mdre-auth2)s

mdpr-errors = too many errors after \S+
mdre-errors = ^from [^[]*\[<HOST>\]%(_port)s$

failregex = <mdre-<mode>>

# Parameter "mode": more (default combines normal and rbl), auth, normal, rbl, ddos, extra or aggressive (combines all)
# Usage example (for jail.local):
#   [postfix]
#   mode = aggressive
#   # or another jail (rewrite filter parameters of jail):
#   [postfix-rbl]
#   filter = postfix[mode=rbl]
#   # jail to match "too many errors", related postconf `smtpd_hard_error_limit`:
#   # (normally included in other modes (normal, more, extra, aggressive), but this jail'd allow to ban on the first message)
#   [postfix-many-errors]
#   filter = postfix[mode=errors]
#   maxretry = 1
mode = more

ignoreregex = 


journalmatch = _SYSTEMD_UNIT=postfix.service

# Author: Cyril Jaquier

Am besten auch mal den Inhalt der /etc/fail2ban/jail.conf vergleichen, die sieht bei mir so aus:

Weiterhin auch mal schauen, was hier noch so alles liegt und mit welchem Inhalt:

Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Ich habe/hatte in /etc/fail2ban/jail.d eine Datei namens keyhelp.local mit folgendem Inhalt:

# Created by KeyHelp.


enabled = true
port    = ssh
backend = systemd

# Web server

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /home/users/*/logs/*/error.log
maxretry = 10

# Mail server

enabled  = true
port     = smtp,ssmtp,smtps,submission,submissions
filter   = postfix
backend  = systemd
maxretry = 6

enabled  = true
port     = pop3,pop3s,imap,imaps,submission,submissions,sieve
filter   = dovecot
backend  = systemd
maxretry = 10

# FTP server

enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
backend  = systemd
maxretry = 6

# Tools

enabled  = true
port     = http,https
filter   = keyhelp-phpmyadmin
backend  = systemd[journalflags=1]
maxretry = 6

enabled  = true
port     = http,https
filter   = roundcube-auth
backend  = systemd[journalflags=1]
maxretry = 10

# Misc

# !!! WARNING !!!
# Make sure that your loglevel specified in fail2ban.conf/.local
# is not at DEBUG level -- which might then cause fail2ban to fall into
# an infinite loop constantly feeding itself with non-informative lines
enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
maxretry = 5
bantime  = 1w
findtime = 1d

nachdem ich diese umbenannt (keyhelp.local-org) habe kann ich fail2ban ohne Fehler starten. Ich nehem aber jetzt nicht an, dass dies eine dauerhafte Lösung sein kann/soll oder?
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Kommt drauf an wie du Fail2Ban konfiguriert haben möchtest und was du absichern möchtest.

Die keyhelp.local definiert die auf dem Server aktiven Fail2Ban-Jails. In dem du sie umbenannt hast wird auf deinem Server aktuell vermutlich nur noch SSH überwacht/geschützt.

Du könntest auch nur den Postfix-Abschnitt aus der keyhelp.local auf "enabled = false" setzen. Dann hättest du das Problem auch nicht mehr, hast die Ursache aber somit natürlich nicht ermittelt.

Hast du denn die Dateien einmal verglichen, so wie ich es angegeben habe? Generell: Wenn ich solche Sachen schreibe, dann bitte im eigenen Beitrag auch darauf eingehen. Es ist immer äußert müßig, alles noch einmal nachfragen zu müssen.
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Es reicht leider nicht, nur den keyhelp-postfix auf false zu sstellen. Dann kommt der Fehler einfach beim nächsten Eintrag.

Ich muss vielleicht dazu sagen, dass ich auf dem vorherigen System bereit den damals nicht originalen fail2ban installiert habe sondern einen neueren. Frag mich nicht die Versionsnummern. Kann ich den kompletten fail2ban mit apt entfernen und diesen einfach wieder neu installieren?

Somit würden allenfalls vorhandene alte Dateien ausgemistet.
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key  [GELÖST]

juergschwarz wrote: Fri 2. Feb 2024, 15:47 Ich muss vielleicht dazu sagen, dass ich auf dem vorherigen System bereit den damals nicht originalen fail2ban installiert habe sondern einen neueren.
Diese Information ist natürlich entscheidend...

Zum Installieren:

apt-get install -y fail2ban python3-pyinotify python3-systemd ;
systemctl enable fail2ban ;
Und Daten kopieren:

/home/keyhelp/www/keyhelp/install/templates/fail2ban/jail.d/keyhelp.local -> /etc/fail2ban/jail.d/keyhelp.local
/home/keyhelp/www/keyhelp/install/templates/fail2ban/filter.d/keyhelp-phpmyadmin.conf -> etc/fail2ban/filter.d/keyhelp-phpmyadmin.conf
Und Befehl ausführen:

chown keyhelp:keyhelp /etc/fail2ban/jail.d/keyhelp.local ;
service fail2ban restart ;
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Alexander wrote: Fri 2. Feb 2024, 16:02 Und Befehl ausführen:

chown keyhelp:keyhelp /etc/fail2ban/jail.d/keyhelp.local ;
Danke Alex gute Info!
Ist mir bisher gar nicht aufgefallen dass dieser Filter unter keyhelp läuft.
Jetzt sollte aber wirklich jeder in der Lage sein (hoffentlich) mögliche F2B Probleme zu beheben :roll:
Re: Fail2ban mit Fehler option 'action' in section 'keyhelp-postfix' contains an interpolation key

Vielen Dank

nachdem ich nun fail2ban neu aufgesetzt habe, hat das natürlich funktioniert. Als ich dann aber jetzt meine Emai Benachrichtigung wieder aktivieren wollte, indem ich meine Angabe wie vorher in der jail.conf angepasst hatte, kam der Fehler wieder.

Es scheint, dass er die action_mwl so nicht akzeptiert. Ich bin nun auf die action_mw ausgewichen und dies klappt nun. Vielleicht kann das noch irgendwann repariert werden.

