Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Bastelecke für Scripte
Antworten
Benutzeravatar
OlliTheDarkness
Beiträge: 426
Registriert: Di 14. Aug 2018, 16:41

Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Beitrag von OlliTheDarkness » Mi 14. Aug 2019, 15:42

Moin,

ob es sich wirklich um einen Bug handelt oder nur ein dummer Zufall (bei 13 von 15 Servern) ist lasse ich mal offen.

Aufjedenfall solltet ihr mal in die Fail2Ban.log schauen ob ihr dort aktuell vermehrt Error´s habt und ihr feststellt das garnichtmehr gebannt wird.

Sollte dem so sein, seid ihr hier richtig.

Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.

WICHTIG: Wenn ihr eigene Regeln habt, VORHER den Ordner /etc/fail2ban SICHERN !

Code: Alles auswählen

service fail2ban stop

apt purge fail2ban

rm /etc/fail2ban -R

apt install nftables fail2ban

service fail2ban stop
Das im Anhang vorhandene Archiv runterladen und in /etc entpacken.
(Inhalt: Ordner: fail2ban, Ordner: nftables -> fail2ban.conf, Datei: nftables.conf)

Jetzt noch der Ordentlichkeit halber in /var/log den Inhalt der fail2ban.log löschen. (NUR DEN INHALT NICHT DIE DATEI)

Code: Alles auswählen

service fail2ban start
Und schon läuft F2B wieder einwandfrei und tut was es soll.

Durch die im Archiv vorhandenen F2B Einstellungen sind folgende Gegebenheiten abgesichert:
  • SSH
  • Apache-Auth
(Inkl. aller KeyHelp User Logs)
  • Apache-BadBots
(Inkl. aller KeyHelp User Logs)
  • Apache-FakeGoogleBots
(Inkl. aller KeyHelp User Logs)
  • ProFTPD FTP-Server
  • PostFix
  • Dovecot
  • MySQL Datenbank Server
(Sehr empfohlen wenn ihr den MySQL Server von aussen erreichbar habt)

Falls ihr noch eigene Regeln hattet müsst ihr diese wieder einspielen und nicht vergessen F2B danach neu zu starten.

Hoffe das hilft dem ein oder anderen der auch grad vor seinem F2B Log saß und sich fragt was da grad abgeht :lol:
Dateianhänge
f2b.tgz
(77.85 KiB) 40-mal heruntergeladen
Benutzeravatar
MLan
Beiträge: 139
Registriert: Mi 20. Sep 2017, 23:05
Wohnort: @home

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Beitrag von MLan » So 18. Aug 2019, 13:30

OlliTheDarkness hat geschrieben:
Mi 14. Aug 2019, 15:42
Fail2Ban BugFix (Debian 10) und erweiterte Absicherung
Vielen Dank.
Funktioniert 1A
derFu
Beiträge: 40
Registriert: Sa 28. Apr 2018, 18:46

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Beitrag von derFu » Fr 13. Sep 2019, 14:52

Hallo!
OlliTheDarkness hat geschrieben:
Mi 14. Aug 2019, 15:42
Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.
Erstmal vielen Dank. Funktioniert!

Allerdings war ich ein wenig irritiert, da ich jetzt nftables und iptables nebeneinander habe. Jedenfalls tauchen die gebannten IPs bei

Code: Alles auswählen

iptables -L (-nv)


ebenso auf wie bei

Code: Alles auswählen

nft list ruleset
Aber gut, ist ja ein Workaround. Es scheint nicht zu stören. Wahrscheinlich läuft diese Ban-Geschichte irgendwie über iptables zu nftables... ?
Ich muss gestehen, dass ich mich mit der Migration iptables -> nftables noch nicht ausreichend beschäftigt habe.

Dann habe ich noch eine Anmerkung: in meinem Deb 9 gab es in jail.d eine Datei "keyhelp.local" mit dem Inhalt
[DEFAULT]
chain = fail2ban

[keyhelp-phpmyadmin]
enabled = true
port = http,https
filter = keyhelp-phpmyadmin
logpath = /var/log/auth.log
maxretry = 6
und in filter.d analog die keyhelp-phpmyadmin.conf mit den dazugehörigen failregexes, die sich doch vom Jail "phpmyadmin-syslog" unterscheiden. Das Jail sperrte das Login in das phpMyAdmin nach 6 Fehlversuchen und wurde meines Wissens bei der KeyHelp-Installation mit angelegt.
Ich habe die Dateien mal von einem anderen Server wieder eingebaut, das Jail funktioniert - und ich fand das eigentlich auch ganz sinnvoll. Die ist jetzt in dem Archiv nicht mehr enthalten. Dies nur als Hinweis.
Viele Grüße,

Thorsten
Benutzeravatar
OlliTheDarkness
Beiträge: 426
Registriert: Di 14. Aug 2018, 16:41

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Beitrag von OlliTheDarkness » Sa 14. Sep 2019, 11:53

Moin und danke für die Info.
Ich werde das gerne für Montag updaten damit es wieder im Paket enthalten ist.
Bin leider aktuell unterwegs und erst Sonntag Abend wieder Home.

Gruss Olli

P.s
Was IPTables / NFTables angeht kann ich dir keine genaue Info gegeben, da ich den Fehler damals nur festgestellt habe und mir einfach nur eine funktionierende Lösung gebaut habe.
Mit der Materie tief befasst habe ich mich zu dem Zeitpunkt auch noch nicht.
Es ist eine harmonische Co Existenz xD
Benutzeravatar
OlliTheDarkness
Beiträge: 426
Registriert: Di 14. Aug 2018, 16:41

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Beitrag von OlliTheDarkness » Mo 16. Sep 2019, 18:31

PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Dateianhänge
f2b.rar
(130.92 KiB) 8-mal heruntergeladen
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste