fail2ban Problem mit den Jails

[Fezzi]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Ich denke ja

Server-Betriebssystem + Version
Ubuntu 20.04

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
23.1.1 (Build 3016)

Problembeschreibung / Fehlermeldungen
Nach meinem Serverumzug bekomme ich die jail.local von fail2ban nicht mehr ausgefuehrt. Das System ist 1:1 das selbe wie vor dem Umzug.

Erwartetes Ergebnis
Das meine jails in jail.local wieder korrekt arbeiten und die entsprechenden IPs im Jail landen.

Tatsächliches Ergebnis
Meine zusaetzlichen Jails werden im Keyhelp Angezeigt, jedoch werden diese von fail2ban ignoriert. Nur die default Jails arbeiten.

Schritte zur Reproduktion
Wenn ich meine alte jail.local in den Folder /etc/fail2ban/jail.d lege und fail2ban durchstarte, dann startet fail2ban nicht mehr. Auf dem alten Server lief die jail.local einwandfrei.

Code: Select all

[recidive]
enabled     = true
filter       = recidive
logpath     = /var/log/fail2ban.log
banaction   = iptables-allports
maxretry    = 3
findtime    = 86400
bantime     = 604800

[apache-auth]
enabled = true
logpath  = %(apache_error_log)s
           /home/users/*/logs/error.log

[apache-fakegooglebot]
enabled = true
logpath = %(apache_access_log)s
          /home/users/*/logs/access.log

[proftpd]
enabled = true

[postfix]
enabled = true

[postfix-rbl]
enabled = true

[dovecot]
enabled = true

[mysqld-auth]
enabled = true

[sshd]
mode   = aggressive

Ich bekomme fail2ban zum laufen wenn ich den Zusatz " backend = systemd " fuer jedes Jail hinzufuege.... Die zusaetzlichen Jails werden im Keyhelp dann auch angezeigt, jedoch werden die Jails nicht ausgefuehrt.

Code: Select all

[postfix]
backend = systemd
enabled = true

Was mache ich hier falsch? Ich habe nun schon Stunden Gegoogelt, wikis gelesen etc. Ich komme einfach nicht drauf was hier auf einmal anderst sein soll. Es ist das selbe OS mit dem selben Keyhelp.

Danke schon mal in Voraus fuer Euren Input.

Gruss

Franco

[OlliTheDarkness]

Moinsen,
auch wenn man es mittlerweile echt Leid ist, es jedesmal noch sagen zu müssen ...

Was sagt die Logfile ?

Deine jail.local ist echt wunderschön, nur stehen da keine Fehler drin.

[Tobi]

Wie hast du die Datei von alt nach neu kopiert?

[OlliTheDarkness]

Wie hast du die Datei von alt nach neu kopiert?

Ich vermute zu wissen, worauf du hinaus willst ^^

Allerdings bezweifle ich es, weil dann würde F2B garnicht erst starten.

Er sagt ja, laufen tut es, nur einzelne Jails blocken nicht.

Vermute irgendwie ganz stark, dass die falschen Logs gelesen werden.

Weil solang der gesetzte Log existiert, meckert F2B auch nicht, wenn halt beim postfix jail die Apache Logs einträgst dann wartest im nächsten Leben noch

[Ralph]

Nach meinem Serverumzug bekomme ich die jail.local von fail2ban nicht mehr ausgefuehrt. Das System ist 1:1 das selbe wie vor dem Umzug.

Könnte es sein dass das vorige System Distro Upgrades erhalteten hat und das aktuelle eine Neu Installation (ohne distro upgrade) ist?
Stimmen die F2B Paket Versionen auf beiden Systemen überein und sind die log files alle vorhanden?

[tab-kh]

Wird überhaupt etwas in die Logs geschrieben? backend = systemd klingt ja danach, dass hier ins Journal gelogt wird und nicht in die "traditionellen" Logfiles.

[OlliTheDarkness]

Wird überhaupt etwas in die Logs geschrieben? backend = systemd klingt ja danach, dass hier ins Journal gelogt wird und nicht in die "traditionellen" Logfiles.

F2B selbst, loggt nach wie vor in sein Logfile (/var/log/fail2ban.log).

Bis alle Dienste ins Journal loggen wird noch ne weile vergehen.

Davon ab das ich eh nicht verstehe was der scheiß soll.

Wir leben und lieben bereits Jahrzehnte mit den Logs, warum muss man daran was ändern.

Finde das macht es komplizierter.

[Ralph]

Wird überhaupt etwas in die Logs geschrieben? backend = systemd klingt ja danach, dass hier ins Journal gelogt wird und nicht in die "traditionellen" Logfiles.

das ging mir eben auch durch den Kopf u.a.
oder eben ein neueres F2B package (sourcen checken) könnte das auch verursachen ...
erst mal die Logs alle checken, ob vorhanden (auch syslog & auth.log ...)

Bis alle Dienste ins Journal loggen wird noch ne weile vergehen.

Hab ich auch gedacht, aber bei Debian12 ist das bereits der Fall u.a. gibts da noch jede Menge neues "nettes" Zeugs ...
viewtopic.php?t=12620

[tab-kh]

Wer es nicht will, kann sich ja rsyslog nachinstallieren. Wird beim Erstellen des Installations/Updateskripts für Debian 12 sicher auch eine Rolle spielen bzw beachtet werden müssen. Ich hatte von Strato mal ein Debian 12 Image installieren lassen, da war das so. fail2ban hat dann auch die Hälfte der Jails nicht gestartet, weil kein passendes Logfile vorhanden war. Da ich keine Zeit hatte, mich damit erst mal zu beschäftigen, habe ich einfach rsyslog dazu installiert, worauf dann fail2ban auch zufrieden war und problemlos lief.

Das war aber kein Keyhelp-Server, sondern ein kleiner 1€ Server. Auf die für Keyhelp vorgesehenen Systeme installiere ich natürlich Debian 11. Beim Debian 11 Image von Strato wird noch in Dateien geloggt und fal2ban läuft problemlos out of the (Keyhelp-) Box.

[Jolinar]

Moderativer Hinweis!

Der Thread wurde aufgeteilt.
Zum Off Topic Teil des Threads geht es hier lang -> Smalltalk über KIs

[Fezzi]

Ok, ja, die Pfade werden es wahrscheinlich sein... aber jetzt erst mal der Reihe nach.

Fail2ban Versionen auf Beiden Systemen die gleiche... auch die selbe KeyHelp Built.

Bei der KH Installation wird ja fail2ban mit installiert und per default aktiviert.

Hier geht der Unterschied vom Alt und Neu Server los.

Die keyhelp.local in der neuen Installation sieht so aus

Code: Select all

# Created by KeyHelp.
#
# DO NOT CHANGE ANYTHING IN THIS FILE,
# CHANGES WILL BE LOST ON NEXT UPDATE!


# Web server

[keyhelp-apache]
enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /home/users/*/logs/*/error.log
maxretry = 10


# Mail server

[keyhelp-postfix]
enabled  = false
port     = smtp,ssmtp,smtps,submission,submissions
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 6

[keyhelp-dovecot]
enabled  = false
port     = pop3,pop3s,imap,imaps,submission,submissions,sieve
filter   = dovecot
logpath  = /var/log/mail.log
maxretry = 12


# FTP server

[keyhelp-proftpd]
enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


# Tools

[keyhelp-phpmyadmin]
enabled  = true
port     = http,https
filter   = keyhelp-phpmyadmin
logpath  = /var/log/auth.log
maxretry = 6

[keyhelp-roundcube]
enabled  = false
port     = http,https
filter   = roundcube-auth
logpath  = /home/keyhelp/www/roundcube/logs/errors.log
maxretry = 6


# Misc

# !!! WARNING !!!
# Make sure that your loglevel specified in fail2ban.conf/.local
# is not at DEBUG level -- which might then cause fail2ban to fall into
# an infinite loop constantly feeding itself with non-informative lines
[keyhelp-recidive]
enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
maxretry = 5
bantime  = 1w
findtime = 1d

Die auf dem alten Server so: Anmerkung... diese, sehr spaerliche, keyhelp.local habe ich niemals angefasst.

Code: Select all

[keyhelp-phpmyadmin]
enabled  = true
port     = http,https
filter   = keyhelp-phpmyadmin
logpath  = /var/log/auth.log
maxretry = 6

Ich habe nun mal die zusaetzlichen Jails in der keyhelp.local aktiviert (false auf true) und diese sind nun auch aktiv und funktionieren.

Der Logfile weist keine Errors auf, wie zuvor auch schon....

Meine eigene jail.local ist, wenn ich diese mit der "neuen" der KH Installation vergleiche, komplett Muell. Hat jedoch auf dem alten Server wunderbar funktioniert.

Moinsen,
auch wenn man es mittlerweile echt Leid ist, es jedesmal noch sagen zu müssen ...

Was sagt die Logfile ?

Deine jail.local ist echt wunderschön, nur stehen da keine Fehler drin.

Sorry Olli, dass das Deinen Blutdruck gesteigert hat. Ja Du hast ja recht, jedoch haette Dir das auch nicht weitgeholfen da der Logfile keine Fehler ausgeworfen hat .

Ich bin keine Leuchte was fail2ban anbetrifft und ich werde mich damit mal naeher befassen wenn es die Zeit zulaesst. Es gibt ja ausreichend Dokumentationen dazu im Netz.

Es ist gut das fail2ban bei der Installation von KH mit installiert wird. Weshalb aber, in meinem Fall, die keyhelp.local sich so on der Alt zu Neu Installation unterscheidet ist mir ein Raetsel.

Danke Euch allen fuer den, wie immer, prompten Input zu einem Problem.

Gruss

Fezzi

[Ralph]

/home/users/*/logs/*/xxx.log ist richtig bei der neuen Installation, der apache logpath hat sich seit KH 23.0 geändert:
z.b. für error.log

Code: Select all

logpath  = /home/users/*/logs/error.log
zu
logpath  = /home/users/*/logs/*/error.log

zum vergleichen von System alt zu neu:

zeigt die F2B Client Version

Code: Select all

fail2ban-client -V

zeigt installierte OS Version:

Code: Select all

lsb_release -a

zeigt die letzten 10 log entrys incl. Datum

Code: Select all

fail -n 10 /var/log/auth.log
tail -n 10 /var/log/syslog

wenn diese beiden nicht vorhanden sind, dann läuft vermutlich irgend etwas wo alles ins Journal geloggt wird

[Fezzi]

Hallo Ralph,

beide Installationen sind identisch.

Alt System wurde in 2018 installiert und ein Upgrade von Ubuntu 18.04 auf 20.04 gemacht. Das neue System wurde direkt mit Ubuntu 20.04 installiert.

Info ALT SYSTEM

Code: Select all

root@ALTINSTALL:~# fail2ban-client -V
0.11.1
root@ALTINSTALL:~# lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.6 LTS
Release:	20.04
Codename:	focal

Info NEU SYSTEM

Code: Select all

root@NEUINSTALL:~# fail2ban-client -V
0.11.1
root@NEUINSTALL:~# lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.6 LTS
Release:	20.04
Codename:	focal

Beide Systeme haben den /var/log/auth.log und /var/log/syslog

[Ralph]

beide Installationen sind identisch.

Gut, dann brauchst du nur die jail.local für alle Apache Jails anzupassen:

Code: Select all

logpath  = /home/users/*/logs/error.log
zu
logpath  = /home/users/*/logs/*/error.log
und
logpath  = /home/users/*/logs/access.log
zu
logpath  = /home/users/*/logs/*/access.log

[Fezzi]

Hallo Ralph,

vielen Dank.. das Hilft mir weiter.

Wie weiter oben schon beschrieben, die keyhelp.local hat bei der Neuinstallation schon fast alle Jails drin die ich benutze und diese musste ich lediglich aktivieren.

Jetzt fuege ich noch meine beiden alten Apache hinzu und dann passt wieder alles.