fail2ban jail für roundcube -> Fehler [GELÖST]

[Zeitkind]

Moin,
wollte fail2ban nicht nur auf ssh, sondern auch auf den Mail-Diensten laufen haben, also in
/etc/fail2ban/jail.d/keyhelp.local auch die jail für roundcube von false -> true gesetzt.
Dann startet fail2ban nicht mehr:

Code: Select all

× fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Mon 2024-04-22 16:24:01 CEST; 5s ago
       Docs: man:fail2ban(1)
    Process: 272543 ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
   Main PID: 272543 (code=exited, status=255/EXCEPTION)
        CPU: 80ms

Apr 22 16:24:01 ### systemd[1]: Started Fail2Ban Service.
Apr 22 16:24:01 ### fail2ban-server[272543]: 2024-04-22 16:24:01,237 fail2ban                [272543]: ERROR   Failed during configuration: Have not found any log file for kh-roundcub>
Apr 22 16:24:01 ### fail2ban-server[272543]: 2024-04-22 16:24:01,241 fail2ban                [272543]: ERROR   Async configuration of server failed
Apr 22 16:24:01 ### systemd[1]: fail2ban.service: Main process exited, code=exited, status=255/EXCEPTION
Apr 22 16:24:01 ### systemd[1]: fail2ban.service: Failed with result 'exit-code'.

Dovecot & postfix geht, nur roundcube wirft den Fehler. System ist ein Standard-Ubuntu 22 LTS mit aktuellem KH.


Edit: fail2ban startet wenn man das log erst mal anlegt:

root@x:/home/keyhelp/www/roundcube/logs# touch /home/keyhelp/www/roundcube/logs/errors.log
root@x:/home/keyhelp/www/roundcube/logs# chown keyhelp:keyhelp errors.log

Ob es dann auch funktioniert - keine Ahnung. Muss man Logs für Webmail erst irgendwo aktivieren?

[Jolinar]

So wie du es versucht hast:

fail2ban startet wenn man das log erst mal anlegt

wird es nicht greifen, denn RC loggt ins syslog (Snippet aus /home/keyhelp/www/roundcube/config/config.inc.php):

Code: Select all

// ----------------------------------
// LOGGING/DEBUGGING
// ----------------------------------

// log driver:  'syslog', 'stdout' or 'file'.
$config['log_driver'] = 'syslog';

Wenn dein Ansatz (eigenes Logfile) funktionieren soll, müßtest du auch die RC Config entsprechend anpassen.

[Zeitkind]

Wenn dein Ansatz (eigenes Logfile) funktionieren soll, müßtest du auch die RC Config entsprechend anpassen.

Das is ja gar nich mein Ansatz, ich hab nur im /etc/fail2ban/jail.d/keyhelp.local von false auf true geschaltet.. ^^
Also stimmt dort das Ziel-Log nicht.

[kh-roundcube]
enabled = true
port = http,https
filter = roundcube-auth
logpath = /home/keyhelp/www/roundcube/logs/errors.log
maxretry = 6

[Alexander]

Die Datei wird auf den Systemen nicht komplett per Default überschreiben (ggf. nur punktuell), wenn eine neue Version davon erscheint. Sie wird komplett überschrieben bei Dist-Upgrades.
Hintergrund: Damit keine benutzerdefinierten Konfigurationen überschreiben werden.


So sieht das aktuelle Original für Ubuntu 22 aus.
Und ist immer hier im Ordner in der aktuellen Version zu finden: /home/keyhelp/www/keyhelp/install/templates/fail2ban/
Zieh dir einfach aus dem folgenden die entsprechenden Teile raus, die du aktivieren willst.

Code: Select all

# Created by KeyHelp.
#
# DO NOT CHANGE ANYTHING IN THIS FILE,
# CHANGES WILL BE LOST ON NEXT UPDATE!

# SSH

[sshd]
enabled = true
port    = ssh
backend = systemd


# Web server

[kh-apache]
enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /home/users/*/logs/*/error.log
maxretry = 10


# Mail server

[kh-postfix]
enabled  = true
port     = smtp,ssmtp,smtps,submission,submissions
filter   = postfix
backend  = systemd
maxretry = 6

[kh-dovecot]
enabled  = true
port     = pop3,pop3s,imap,imaps,submission,submissions,sieve
filter   = dovecot
backend  = systemd
maxretry = 10


# FTP server

[kh-ftp]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
backend  = systemd
maxretry = 6


# Database server

[kh-database]
enabled  = true
port     = mysql
filter   = keyhelp-mariadb
backend  = systemd
maxretry = 6


# Tools

[kh-phpmyadmin]
enabled  = true
port     = http,https
filter   = keyhelp-phpmyadmin
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 6

[kh-roundcube]
enabled  = true
port     = http,https
filter   = roundcube-auth
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 10

[kh-snappymail]
enabled  = true
port     = http,https
filter   = keyhelp-snappymail
# https://github.com/fail2ban/fail2ban/wiki/Upgrading-to-v0.10.5-Breaks-WP-Fail2ban-and-Other-Jails
backend  = systemd[journalflags=1]
maxretry = 10


# Misc

# !!! WARNING !!!
# Make sure that your loglevel specified in fail2ban.conf/.local
# is not at DEBUG level -- which might then cause fail2ban to fall into
# an infinite loop constantly feeding itself with non-informative lines
[kh-recidive]
enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
maxretry = 5
bantime  = 1w
findtime = 1d