fail2ban Fehler nach frischer Installation [GELÖST]

[Bramdal]

Hallo zusammen,

ich bin noch am lernen was die Serveradministration angeht. Deshalb nutze ich meinen Server nur, wenn ich online bin und fahre ihn danach runter. Nutze ihn also noch lange nicht produktiv. Außerdem installiere ich sehr oft mal neu, weil ich viel ausprobiere. SSH ist natürlich dabei immer als erstes abgesichert, der Port 22 aber geblieben. Nachdem ich in letzter Zeit viel mit der Hand aufgesetzt und rumprobiert habe, versuche ich gerade die verschiedenen Admin Tools aus, welche ich vielleicht später mal nutzen könnte. Nun bin ich bei KeyHelp gelandet.

Die Installation bei Netcup auf Debian 9 Minimal lief komplett ohne Fehlermeldungen durch. Jedoch habe ich verschiedene Fehlermeldungen im fail2ban Log, dessen Ausschnitt ich hier angehängt habe und mit denen ich nicht viel anfangen kann. Ich habe noch nichts an der Installation bzw. der Konfiguration geändert. KeyHelp läuft also im Auslieferungszustand.

Vielleicht kann mir hier jemand einen Tipp geben wie ich diese Fehlermeldungen jetzt am besten angehen könnte. Da fehlt mir leider noch etwas das Hintergrundwissen, welches ich mir aber nach und nach anlege. Wenn weitere Logfiles erforderlich sind, sagt Bescheid.

Danke schonmal für die Unterstützung.

PS: Kennt ihr gute Seiten, auf denen man sich in IpTables und fail2ban mehr einarbeiten kann ? Oder auch Bücher zum Thema ?

[Bramdal]

Hallo nochmal,

mir ist klar, das die totalen Anfängerfragen für erfahrene Admins recht nervig sind. Vielleicht mag aber trotzdem wer helfen ?

ich habe testweise die IPTables neu eingelesen. Jetzt arbeitet fail2ban tatsächlich korrekt und ohne Fehlermeldungen.

Wenn ich jetzt den SSH Port ändern möchte -um die fail2ban Logs erstmal sauberer zu halten- kann ich fail2ban ganz normal mit angepassten SSH Port über die von mir angelegte jail.local einstellen ? Ich nehme es an. Oder beisst sich das irgendwie mit den Voreinstellungen von KeyHelp ? Ich frage, da mir noch nicht ganz klar ist wo KeyHelp die beiden voreingestellten fail2ban Regeln speichert und ob diese dann einfach von der jail.local quasi überschrieben werden ?

Noch ne Frage:

Da ich Roundcube auch in Zukunft wahrscheinlich nicht benötigen werde und am besten nur Dienste laufen lassen möchte, die ich auch wirklich benötige, könnte ich Roundcube einfach deinstallieren ? Oder gibt es da Abhängigkeiten innerhalb KeyHelp ? Wohl eher nicht, vermute ich.

Letzte Fragen:

Was haltet ihr eigendlich von diesem Buch: https://www.rheinwerk-verlag.de/hacking-security_4382/

Bin am überlegen, ob ich es mir anschaffe. Sicherlich für einen Anfänger wie mich erstmal harter Stoff, aber mir geht es ja auch darum später den Server und die Projekte möglichst sicher zu betreiben, wenn ich ihn mal produktiv betreibe. Zudem möchte ich halt auch gerne dazu lernen. Nur ein Buch was sich explizit um die IPTables dreht, hab ich noch nicht gefunden. Da wäre ich weiterhin dankbar für Links zu Webseiten, die sich eingehend damit beschäftigen. Ich habe bisher nur Seiten gefunden, die leider nur sehr oberflächlich das Thema streifen.

Soweit erstmal

Gruß

Bramdal

[Tobi]

Vielleicht mag aber trotzdem wer helfen ?

Klar, in der Regel ist es so, dass hier jeder gerne hilft. Sonst wären wir nicht hier
Dein Anhang wurde bisher 17 Mal heruntergeladen.
Interesse am Thema besteht somit. Allerdings scheint noch niemand das Problem gehabt zu haben

Interessant an deinem Logfile ist, dass fail2ban um 12:16 Uhr noch Fehler ausgeworfen hat, ab 12:26 Uhr aber nicht mehr.
Seit 12:26 Uhr funktioniert es (wie du auch schon bemerkt hast) korrekt. Ansonsten hätte das "BAN" und "UNBAN" nicht geklappt.
Also alles gut hier

Wenn ich jetzt den SSH Port ändern möchte

Ich persönlich würde das lassen. "Obscurity is not security".
Im Gegenteil. Ein Nicht-Standard-Port deutet immer auf ein "supergeheimes, wichtiges Projekt" hin. Damit wirst du eher die "richtigen" Hacker anlocken. Und die hält ein Nicht-Port-22 garantiert nicht auf

Oder gibt es da Abhängigkeiten innerhalb KeyHelp ?

Ja, du definierst die SPAM Filter in Roundcube. Roundcube selber belegt auf der Festplatte ein paar Megabyte, in der Datenbank, sofern du es gar nicht nutzt, nur ein paar Kilobyte. Das ist den Löschaufwand nicht wert. Wenn du Angst hast, dass sich da jemand "reinhackt", dann verschließe das Roundcube Verzeichnis mit einer .htaccess und gut ist.

[Bramdal]

Interessant an deinem Logfile ist, dass fail2ban um 12:16 Uhr noch Fehler ausgeworfen hat, ab 12:26 Uhr aber nicht mehr.
Seit 12:26 Uhr funktioniert es (wie du auch schon bemerkt hast) korrekt. Ansonsten hätte das "BAN" und "UNBAN" nicht geklappt.
Also alles gut hier

Das Problem war da aber, das hier ein Ban angezeigt wurde, aber tatsächlich nicht gebannt wurde. Hab das mit nem VPN ausprobiert. Hatte etliche erfolgreiche Versuche, obwohl die IP schon längst hätte gebannt sein müssen. Erst nachdem Neueinlesen der IP Tables, hat Fail2Ban korrekt gearbeitet und auch wirklich wieder gebannt und es nicht nur in den Logs ausgeworfen.

Wenn ich jetzt den SSH Port ändern möchte

Ich persönlich würde das lassen. "Obscurity is not security".
Im Gegenteil. Ein Nicht-Standard-Port deutet immer auf ein "supergeheimes, wichtiges Projekt" hin. Damit wirst du eher die "richtigen" Hacker anlocken. Und die hält ein Nicht-Port-22 garantiert nicht auf

Daran hab ich nicht gedacht, das mein Server dann sogar noch interessanter erscheinen kann. Das es für die Sicherheit wenig bringt, ist klar. Dachte halt nur das ich damit einfach meine Fail2Ban Logs vielleicht sauberer und damit übersichtlicher halten kann.

Oder gibt es da Abhängigkeiten innerhalb KeyHelp ?

Ja, du definierst die SPAM Filter in Roundcube. Roundcube selber belegt auf der Festplatte ein paar Megabyte, in der Datenbank, sofern du es gar nicht nutzt, nur ein paar Kilobyte. Das ist den Löschaufwand nicht wert. Wenn du Angst hast, dass sich da jemand "reinhackt", dann verschließe das Roundcube Verzeichnis mit einer .htaccess und gut ist.

Ahso...dann werde ich es erstmal einfach mit einer htaccess regeln. Obwohl ich ungerne Software offen im System habe, die ich eigendlich nicht aktiv nutze.

Danke schonmal bis hierhin.

Gruß

Bramdal

[Alexander]

Ahso...dann werde ich es erstmal einfach mit einer htaccess regeln. Obwohl ich ungerne Software offen im System habe, die ich eigendlich nicht aktiv nutze.

Fürs Protokoll wollte ich noch erwähnen: Es gibt auch eine Checkbox im KeyHelp, die technisch gesehen nichts anderes macht, als die htaccess zu schreiben und den Menüpunkt im KeyHelp zu verstecken: "Panel-Einstellungen" - "Tools - Webmail" - "Ist aktiviert"

[Tobi]

Ahso...dann werde ich es erstmal einfach mit einer htaccess regeln. Obwohl ich ungerne Software offen im System habe, die ich eigendlich nicht aktiv nutze.

Fürs Protokoll wollte ich noch erwähnen: Es gibt auch eine Checkbox im KeyHelp, die technisch gesehen nichts anderes macht, als die htaccess zu schreiben und den Menüpunkt im KeyHelp zu verstecken: "Panel-Einstellungen" - "Tools - Webmail" - "Ist aktiviert"

Bäh ich bin ja soooooo old-school konsolen-fixiert

[Bramdal]

Hallo,

schon wieder habe ich das Problem das die Ip-Tables nicht geladen werden und somit auch Fail2ban nicht vernünftig arbeiten kann.

Diesmal benutze ich aber einen frischen vServer von Keyweb mit vorinstallierten KeyHelp. Ich kann hier zwar die Ip Tables über Keyhelp neu einlesen und dann wird auch über "iptables --list" alles richtig angezeigt, aber nach einem Reboot ist alles wieder weg.

Kann mir hier jemand mitteilen, wie die angelegten Regeln für IP-Tables auch nach einem Reboot wieder eingelesen werden können ? Denn da scheint es irgendwo gewaltig zu hapern.

edit:

Interessanterweise hatte und habe ich das Problem ja ausschlieslich mit Ubuntu 18.04. Mit 16.04 läuft Ip-Tables wie es soll. Der Keyweb vServer läuft auch unter Ubuntu 18.04. Dachte eigendlich die werden mit vorinstallierten Keyhelp mit 16.04 ausgeliefert. Da ich momentan noch keinen Zugang in Proxmox habe, kann ich keine neue iso einspielen und es auch hier nochmal mit Ubuntu 16.04 zu versuchen. Eine Mail an Keyweb von heute morgen bzgl. Proxmox blieb bisher leider ohne Reaktion.

Interessant wäre ja auch für mich, ob andere keine Probleme mit Ubuntu 18.04 haben, oder das Problem nachstellen können.

[nikko]

Hm.... Keyweb antwortet immer recht zügig. In der Regel in wenigen Minuten. Möglicherweise ist gerade ein priorisiertes Problem anhängig.

Dein Problem schaut sich Alex garantiert am Montag an. Und es wird auch definitiv gelöst.

Ich habe mit 18.04 nur eine Livemaschine, da möchte ich ungern testen.

Die Zugangsdaten zu Proxmox hast du mit den Zugangsdaten zum Server bekommen, selten klappt es mal nicht.

[Martin]

Hallo,

zu der Supportanfrage an Keyweb, wurde diese wirklich per Mail geschickt? Für Supportanfragen bitte das Ticketsystem nutzen.

[Bramdal]

Hatte tatsächlich ne Mail geschrieben an info@keyweb.de. Später aber dann doch ein Ticket eröffnet. Inzwischen ist zumindest die Sache mit Proxmox geregelt.

[Alexander]

Grüße,

Gerade nochmal getestet, unter Ubuntu 18.04 versagt das automatische Reinladen der Regeln.
Normalerweise genügt es, das Script zum Laden der Regeln in diesem Verzeichnis abzulegen:

Code: Select all

/etc/network/if-pre-up.d/

Unter Ubuntu 18 scheint dies jedoch nicht auszureichen (Bug?)

---

Hier eine Möglichkeit, das Laden der Regeln sicherzustellen:

https://nucco.org/2018/05/ubuntu-18-04- ... twork.html

Die Datei unter /etc/systemd/system/ müsste dann so aussehen.

Code: Select all

[Unit]
Description = Apply iptables rules 

[Service]
Type=oneshot
ExecStart=/etc/network/if-pre-up.d/keyhelp_load_rules 

[Install]
WantedBy=network-pre.target

---

Im kommenden Update wird dafür Sorge getragen, dass Regeln auch bei Ubuntu 18 korrekt geladen werden.

[MLan]

Da ich hier gerade fail2ban lese und seit geraumer zeit auf meinem Debian 9.6 an eben diesem fail2ban bastele und nicht weiterkomme,
stelle ich hier mal die Frage, ob jemand funktionierende configs für fail2ban hat.
In der Grundkonfiguration kann man damit leider niemanden von illegalen Aktivitäten am Server abhalten.
Wichtig wäre mir erstmal proftpd und postfix

Code: Select all

Nov 25 22:55:29 sv01 postfix/smtpd[3734]: warning: unknown[212.237.12.12]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

date "+%b %d %H:%M:%S"
Nov 25 23:26:12

Code: Select all

fail2ban-regex -d "%b %d %H:%M:%S" /var/log/mail.log   /etc/fail2ban/filter.d/postfix-sasl.conf

Running tests
=============
Use datepattern : MON Day 24hour:Minute:Second
Use failregex filter file : postfix-sasl, basedir: /etc/fail2ban
Use log file : /var/log/mail.log
Use encoding : UTF-8
..
Lines: 24799 lines, 0 ignored, 370 matched, 24429 missed

Warum um alles in der Welt greift das nicht ?

Bei proftpd hatte ich das mal zum laufen gebracht, mit
export LC_MESSAGES="en_US.UTF-8"
export LC_ALL="en_US.UTF-8"
export LANG="en_US.UTF-8"
Das funktioniert leider auch nicht mehr.

Wäre daher über jeden brauchbaren Tipp dankbar
Weil so wie es jetzt ist, ist es sinnlos. Dann kann man das gleich deinstallen

Vielen Dank im Voraus
MLan