KeyHelp Community

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
ja

Server-Betriebssystem + Version
Debian 12.5 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
(24.0 (Build 3220)

Es gab ja schon einige Threads zum Thema Fail2ban, aber ich wollte mich nicht direkt dranhängen - mir geht es hier hauptsächlich um das Postfix Jail (nicht Dovecot), und außerdem bin ich auf Debian (nicht Ubuntu).

Seit ich den Server neu aufgesetzt habe, hat Fail2ban mit den KH-Jails keine einzige IP blockiert (also, wann immer ich auf der Panelseite nachgesehen habe). Dabei schwirren mir bei journalctl -f die "SASL LOGIN authentication failed" etwa im Sekundentakt um die Ohren. Das mag man als Hintergrundrauschen abtun, aber ich würde diese Plagegeister schon gern ein wenig eingedämmt wissen ... dafür ist Fail2ban ja gedacht.

Kürzlich haben aber die scriptkiddies den weg vom Standard verlegten SIP-Port meines asterisk-servers entdeckt und begonnen, den heftig zu beackern. Nach einigen erforderlichen Änderungen im asterisk-eigenen logging habe ich dann in der jail.local eine Sektion asterisk aktiviert, und Fail2ban hat auch gleich mehrere Dutzend IPs blockiert. Seltsamerweise konnte ich dies zwar in der Konsole sehen (fail2ban-client status asterisk), nicht aber im Panel. Dort erscheint zwar das Jail asterisk, aber immer mit 0 im Ergebnis, auch wenn die Konsole zur selben Zeit z.B. 94 ausgab.

Aktuell herrscht Ruhe an der asterisk Front, es scheint also schon was zu bewirken, die attackierenden IPs wenigstens eine Weile lang zu blockieren. Umsomehr irritiert es mich, dass dies mit dem postfix Jail nicht funktioniert.

Ich habe habe in der jail.local ein wenig experimentiert (z.B. eine action hinzugefügt, oder das backend auf systemd[journalflags=1] erweitert), hat aber alles nichts geändert.

Sonstige Änderungen an Fail2ban meinerseits waren ausschließlich in der jail.local: und halt die erwähnte asterisk Sektion.

Wie könnte ich das kh-postfix Jail (und alle andren KH-Jails) zum Laufen kriegen?

Bei postfix liegt das Problem definitiv am entsprechenden Filter (/etc/fail2ban/filter.d/postfix.conf).
Da steht unten unter [Init] Das ist wirkungslos, zumindest bei mir (und vermutlich auch allen anderen, die hier nicht mehr die Logfiles auswerten, sondern das Journal).
Ich habe das ersetzt durch Den Unterschied sieht man schnell, wenn man die Ausgaben von und vergleicht. Bei mir ist das 1 Eintrag vs. 482354 Einträge.

Bei dovecot passt das allerdings mit "dovecot.service".

Edit: Bin gerade stutzig geworden wegen dem vrmeintlich einen Eintrag. Die entsprechende Ausgabezeile lautet in beiden Fällen:

tab-kh wrote: ↑Mon 6. May 2024, 10:16 Bei postfix liegt das Problem definitiv am entsprechenden Filter (/etc/fail2ban/filter.d/postfix.conf).

Ich habe das ersetzt durch

Code: Select all

journalmatch = _SYSTEMD_UNIT=postfix@-.service

Hm - ich habe das probiert, aber es macht keinerlei Unterschied

Hätte mich auch gewundert, denn dann müssten ja alle KH-Benutzer dieses Problem haben ... wie gesagt, der Server ist frisch aufgesetzt.

Aber offenbar funktioniert es bei allen/den meisten andern, sonst gäbe es sicher mehr Beiträge dazu ...

technotravel wrote: ↑Mon 6. May 2024, 16:50

tab-kh wrote: ↑Mon 6. May 2024, 10:16 Bei postfix liegt das Problem definitiv am entsprechenden Filter (/etc/fail2ban/filter.d/postfix.conf).

Ich habe das ersetzt durch

Code: Select all

journalmatch = _SYSTEMD_UNIT=postfix@-.service

Hm - ich habe das probiert, aber es macht keinerlei Unterschied

Hätte mich auch gewundert, denn dann müssten ja alle KH-Benutzer dieses Problem haben ... wie gesagt, der Server ist frisch aufgesetzt.

Aber offenbar funktioniert es bei allen/den meisten andern, sonst gäbe es sicher mehr Beiträge dazu ...

Hast du fail2ban mal neu gestartet?

Hier der entsprechende Pull-Request auf Github: https://github.com/fail2ban/fail2ban/pull/3692
und hier die in der Datei postfix.conf duchgeführten Änderungen: https://github.com/fail2ban/fail2ban/co ... bcf7cc6920

Wenn es der Oberindianer selbst so in die Codebasis übernommen hat, dann darf man es wohl glauben. Wegen Backwards Compatibility steht aber auch der alte Match-String mit drin. Darauf habe ich natürlich keine Rücksicht genommen. Fail2Ban soll halt auf allen Systemen in allen Versionen funktionieren, deswegen hat er es so gemacht und das ist auch richtig so. Erstaunlich ist nur, dass das erst im März diesen Jahres passiert ist. Die von Keyhelp/Debian 12 installierten Dateien sind noch aus 2022.

technotravel wrote: ↑Mon 6. May 2024, 16:50
Hm - ich habe das probiert, aber es macht keinerlei Unterschied

Mea culpa - doch, es funktioniert: Danke für den Tip! Hoffen wir mal, dass alle F2B-Filter bald auf den neuesten Stand gebracht werden.

technotravel wrote: ↑Tue 7. May 2024, 12:15 Danke für den Tip! Hoffen wir mal, dass alle F2B-Filter bald auf den neuesten Stand gebracht werden.

Ja, da ist ein wenig Chaos momentan ... bei F2B eben auch wg. der Umstellung auf Journal
Bullseye läuft ja auch noch mit LTS bis Juni 2026 und bei Buster und bei Bullseye die "schon schön" stabil gearbeitet haben, nehme ich jedenfalls den LTS Support mit.
Bookworm ist für mich immer noch eher "testing" Status, die hauen Releases raus die kaum noch richtig getestet wurden und wichtige Pakete noch gar nicht sauber angepasst wurden ... wäre besser vorab länger zu testen anstatt so etwas rauszuhauen was nur Probleme macht.

Moin,
ihr könnt unter Bookworm auch das Rsyslog für die "alten" logs wieder aktivieren. Damit gibts etwas weniger Probleme...
https://kifarunix.com/enable-rsyslog-lo ... _article=1

Ralph wrote: ↑Tue 7. May 2024, 13:51 Bullseye läuft ja auch noch mit LTS bis Juni 2026 und bei Buster und bei Bullseye die "schon schön" stabil gearbeitet haben, nehme ich jedenfalls den LTS Support mit

Mutiger Zeitgenosse...
Du weißt aber schon, daß der LTS Zweig bei Debian nicht von den regulären Maintainern gepflegt wird...? Deswegen werden auch nicht alle Pakete im LTS Zweig betreut, wo dann auch eventuelle Patches zurückportiert werden.
Für eine private Kiste mag der LTS Zweig ja genügen. Aber sobald auf der Kiste irgendwas in Richtung "Kunden" unterwegs ist, wird das zum Roulette Spiel...

Jolinar wrote: ↑Tue 7. May 2024, 16:35 Mutiger Zeitgenosse...

leicht übertrieben
Das ist nicht ganz zutreffend, bei KH ist es vieleicht eher empfehlenswert aufgrund der zusätzlichen (eigenen) PHP Packages. Ich fahre seit Stretch gut damit, die Systeme sind auch während der LTS Phase weiterhin noch verbessert worden, also nicht nur reine Security Updates von gelangweilten Praktikanten

### edit ###
wirf mal einen Blick darauf
https://security-tracker.debian.org/tra ... 2024-20328
Da hat sich seit Monaten nichts geändert obwohl es das aktuelle stable relase sein soll

Ich habe vor, es anders zu machen, also den LTS Support höchstens für kurze Zeit in Anspruch zu nehmen. Eben je nachdem, wie schnell ich dabei bin, meine ganzen Postfächer, Anwendungen und Websites umzuziehen auf einen anderen Keyhelp-Server, der direkt mit Debian 12 installiert wurde. Also ohne die Struktur aus einem Backup übernehmen zu können. Solche Umzüge habe ich schon einige hinter mir, hatte aber auch Server die von Debian 9 auf 10 und 11 per Keyhelp Upgrade-Skript gegangen sind. Mittlerweile ist aber keiner dieser Server mehr aktiv bzw noch von mir gemietet.

Mein Keyhelp Mailserver (Debian 11) bei Strato (VC4-8) ist bereits gekündigt zum 2.6., der größere (ebenfalls Debian 11) folgt dann ein oder zwei Monate später. Da mein Mailaufkommen nicht mehr so gigantisch ist - oder es eigentlich nie war - schaue ich mal, wie schwer sich mein neuer netcup ARM64 Server damit tut, beides zu übernehmen. Wichtige Mailadressen/Postfächer laufen sowieso schon länger (teils nur ausgehend) nicht mehr über eigene Server, sondern über die grüne Mailbox aus Berlin, was auch Zustellprobleme minimiert.

Ist da halt einfach nicht mehr mein Problem, mich mit Telekom, Google, MS und Konsorten herumzuschlagen. Und für 2,50€/Monat kann man nicht meckern. Falls der ARM64 Server es aber wider Erwarten nicht packt (also im Schnitt nur noch weniger als 90% idle ist ), nehme ich erst mal einen der beiden noch eine Weile laufenden Strato VC4-8 für die Mailboxen. Die sind auch beide schon Debian 12 Keyhelp-Server. Dann muss man halt mal sehen, wie es danach weitergeht

Ralph wrote: ↑Tue 7. May 2024, 17:00
### edit ###
wirf mal einen Blick darauf
https://security-tracker.debian.org/tra ... 2024-20328
Da hat sich seit Monaten nichts geändert obwohl es das aktuelle stable relase sein soll

Weil sich nichts (oder wenig) ändert, heißt es ja auch "stable"

tab-kh wrote: ↑Tue 7. May 2024, 18:00 Weil sich nichts (oder wenig) ändert, heißt es ja auch "stable"

haha genau, so siehts wohl aus
gegen oldstable ist auch im Grunde nichts einzuwenden, die Systeme werden weiterhin gepflegt, das kommt auch nicht nur Häppchenweise ... also ich kann nicht meckern ... die zusätzlichen PHP Versionen bei KH sollten aber up2date sein bzw. notfalls deaktivieren bei LTS.

Debian 11 “Bullseye” i386, amd64, armhf and arm64 August 15th, 2024 to June 30th, 2026

https://wiki.debian.org/LTS

Ralph wrote: ↑Tue 7. May 2024, 18:11 die zusätzlichen PHP Versionen bei KH sollten aber up2date sein

Davon darfst du bei Alex sicher ausgehen

Jolinar wrote: ↑Tue 7. May 2024, 18:20 Davon darfst du bei Alex sicher ausgehen

Alles gut Joli, ich hatte heute nur wieder zuviel Vollmond Kundschaft und könnte jetzt glatt eine Palette Klosterfrau Melissengeist weghauen