Fail2Ban hat alle Keyhelp Services Übernacht gesperrt

[AstroLulu]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt


Server-Betriebssystem + Version
Debian 12 Bookworm


Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
25.2 (Build 3483)


Problembeschreibung / Fehlermeldungen
Fail2Ban hat übernacht alle Keyhelp Services + sshd gejailed und somit meinen kompletten Zugriff via SSH und alle Websiten lahmgelegt.
Ich war komplett ausgesperrt auf sämtlichen Geräten und verschiedenen Netzwerken und konnte den Zugriff nur via VNC Konsole wiederherstellen.

Erwartetes Ergebnis
Fail2Ban jailt nicht unerwartet services

Tatsächliches Ergebnis
kh services + sshd gejailed und somit alles lahmgelegt

Schritte zur Reproduktion
fail2ban-client status (siehe screenshot)
`systemctl stop fail2ban` ausgeführt -> alles wieder normal erreichbar
Zusätzliche Informationen
fail2ban.log angehangen

[Jolinar]

Hast du an der Jailkonfiguration irgendwas angepaßt?
Wie sehen die Jails "kh-services" und "sshd" aus?

[24unix]

Fail2Ban hat übernacht alle Keyhelp Services + sshd gejailed und somit meinen kompletten Zugriff via SSH und alle Websiten lahmgelegt.
Ich war komplett ausgesperrt auf sämtlichen Geräten und verschiedenen Netzwerken und konnte den Zugriff nur via VNC Konsole wiederherstellen.

Warum whitelistest Du Deine IP nicht einfach?

[AstroLulu]

Weil ich täglich von sämtlichen Orten auf mein Keyhelp zugreife und somit keine IP Whitelisten kann.

Wurde meine IP nur gebannt? Es sind doch sämtliche Services im Jail. Oder bedeutet das was anderes?

Es war noch nie ein Problem, bis heute

Wenn nur meine IP fälschlicherweise gebannt wurde, wäre es noch verkraftbar.

Meines Erachtens nach sah es aber so aus, als hätte eine falsche Config, die wodurch auch immer heute nacht eingespielt wurde, alles lahmgelegt.

[Jolinar]

Meines Erachtens nach sah es aber so aus, als hätte eine falsche Config, die wodurch auch immer heute nacht eingespielt wurde, alles lahmgelegt.

Deine Spekulationen über die mögliche Ursache deines Problems helfen hier nicht weiter.
Ich fragte ja schon weiter oben, wie deine Konfiguration aussieht...

[Alexander]

Ich denke...
1) - irgendein Dienst von dir hat sich mehrfach mit falschen Anmeldeversuchen beim KeyHelp Server gemeldet.
2) - du hast damit die in deiner Konfiguration konfigurierte Schwelle für diesen Dienst erreicht und wurdest temporär geblockt.
3) - das Ganze hat sich dann ein paar mal wiederholt und du hast somit die Schwelle für die Recidive Regel überschritten, womit dann alles geblockt wurde.

Ganz normales Fail2Ban-Verhalten mit den KeyHelp Standard-Jails.

Die Fail2Ban Logs mit der Suche nach deiner IP sollten dir Aufschluss darüber geben.

-> Verschoben nach Allgemein.

[Ralph]

Haha ... ich hätte ja grundsätzlich nichts dagegen, wenn sich ab sofort alle Systeme Weltweit selbst sperren
Interne IP Adresen können in F2B whitelisted werden, für alle Services oder per Jail ...

# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban
# will not ban a host which matches an address in this list. Several addresses
# can be defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8 ::1 xxx.xxx.xxx.xxx