Debian 12 & F2B [SOLVED]

[Ralph]

Ich bereite gerade ein System (Debian12) für eine Migration vor und hänge bei der F2B Absicherung fest.
Ich habe es zuerst via backend = systemd im jail versucht, nach Fail Tests sind die Fehl Logins im journal zwar vorhanden, aber F2B reagiert nicht darauf ...

Weil dies keinen Erfolg gebracht hat habe ich dann mysql auf file logging umgestellt und entsprechend das Jail auf Logfile gesetzt (backend = auto, mysql & fail2ban neu gestartet) .

Die Fail logs landen auch alle brav im error.log wie voher auch im journal

Code: Select all

# tail -n 100 /var/log/mysql/error.log
2023-10-17 18:01:31 59 [Warning] Access denied for user 'Gtabb74_SaXc'@'other.host.tld' (using password: YES)
2023-10-17 18:01:34 60 [Warning] Access denied for user 'Gtabb74_SaXc'@'other.host.tld' (using password: YES)
2023-10-17 18:08:10 83 [Warning] Access denied for user 'Gtabb74_SaXc'@'other.host.tld' (using password: YES)
2023-10-17 18:10:09 92 [Warning] Access denied for user 'Gtabb74_SaXc'@'other.host.tld' (using password: YES)

aber im fail2ban.log tauchen diese nicht auf, wird auch nichts geblockt ...

Code: Select all

# tail -n 100 /var/log/fail2ban.log
2023-10-17 18:07:47,647 fail2ban.filtersystemd  [65173]: INFO    [sshd] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,649 fail2ban.filtersystemd  [65173]: INFO    [postfix-rbl] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,653 fail2ban.jail           [65173]: INFO    Jail 'postfix-rbl' started
2023-10-17 18:07:47,654 fail2ban.jail           [65173]: INFO    Jail 'mysqld-auth' started
2023-10-17 18:07:47,655 fail2ban.jail           [65173]: INFO    Jail 'postfix-pregreet' started
2023-10-17 18:07:47,656 fail2ban.filtersystemd  [65173]: INFO    [keyhelp-postfix] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,656 fail2ban.jail           [65173]: INFO    Jail 'keyhelp-postfix' started
2023-10-17 18:07:47,657 fail2ban.filtersystemd  [65173]: INFO    [postfix-pregreet] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,657 fail2ban.jail           [65173]: INFO    Jail 'keyhelp-dovecot' started
2023-10-17 18:07:47,659 fail2ban.filtersystemd  [65173]: INFO    [keyhelp-dovecot] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,659 fail2ban.jail           [65173]: INFO    Jail 'keyhelp-proftpd' started
2023-10-17 18:07:47,660 fail2ban.filtersystemd  [65173]: INFO    [keyhelp-proftpd] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,661 fail2ban.jail           [65173]: INFO    Jail 'keyhelp-phpmyadmin' started
2023-10-17 18:07:47,662 fail2ban.jail           [65173]: INFO    Jail 'keyhelp-roundcube' started
2023-10-17 18:07:47,662 fail2ban.filtersystemd  [65173]: INFO    [keyhelp-phpmyadmin] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,663 fail2ban.filtersystemd  [65173]: INFO    [keyhelp-roundcube] Jail is in operation now (process new journal entries)
2023-10-17 18:07:47,850 fail2ban.actions        [65173]: NOTICE  [postfix-rbl] Restore Ban 147.78.103.27
2023-10-17 18:10:37,629 fail2ban.filter         [65173]: INFO    [keyhelp-proftpd] Found 152.32.245.44 - 2023-10-17 18:10:37
2023-10-17 18:20:03,880 fail2ban.filter         [65173]: INFO    [postfix-pregreet] Found 152.32.133.128 - 2023-10-17 18:20:03
2023-10-17 18:20:03,910 fail2ban.actions        [65173]: NOTICE  [postfix-pregreet] Ban 152.32.133.128

Kann es sein dass der mysqld-auth Filter bei Bookworm defekt ist?

[Jolinar]

Moderativer Hinweis:

Beitrag vom ursprünglichen Thread wegen fehlender Relevanz zum dortigen Topic abgetrennt, neuen Thread erstellt und nach Off Topic verschoben.

[Ralph]

Beitrag vom ursprünglichen Thread wegen fehlender Relevanz zum dortigen Topic abgetrennt, neuen Thread erstellt und nach Off Topic verschoben.

however ...

After activating:
SETTINGS => Configuration => Database => Allow remote access = enable
SETTINGS => Configuration => Account Templates => Database remote access = enable
you have a security issue on your server. While migration this settings are needed. But if no of you customer needs a remote connection to the MySQL daemon disable this setting after migration. Otherwise use Fail2Ban to protect the MySQL Port. For this you have to extend 2 settings:

Extend your MySQL settings / Activate mysql-auth in Fail2Ban

https://github.com/TheCry/i-mscp-keyhelp-migration

[Ralph]

OK, ich kann für mich dieses Problem mit einem eigenen Filter beheben.

Der Hinweis darauf wäre aber vieleicht für andere nützlich die eine Migration durchführen wobei dann möglicherweise kein Schutz seitens F2B besteht wenn der default mysqld-auth Filter bei Debian12 nicht greift.

[Ralph]

Joli du hast richtig gelegen mit der offtopic Verschiebung
Es lag daran das usedns in der jail.local deaktiviert war, muß aber auf usedns = warn

Code: Select all

#usedns = no
usedns = warn

Code: Select all

2023-10-18 10:31:43,752 fail2ban.actions        [64661]: NOTICE  [mysqld-auth] Ban xxx.xxx.xxx.xxx

[Jolinar]

Joli du hast richtig gelegen mit der offtopic Verschiebung

[Alexander]

Ich habe soeben die korrekte Filterung von MariaDB über "backend = systemd" ins KeyHelp eingebaut.
Ist ab kommender Version standardmäßig aktiv bei allen Neuinstallationen und Dist-Upgrades zu den derzeit unterstützten Systemen.

Das nur als info, wenn später noch jemand über diesen Beitrag stolpern sollte.