Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Für Modifikationen in und um KeyHelp.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

Moin,

ob es sich wirklich um einen Bug handelt oder nur ein dummer Zufall (bei 13 von 15 Servern) ist lasse ich mal offen.

Aufjedenfall solltet ihr mal in die Fail2Ban.log schauen ob ihr dort aktuell vermehrt Error´s habt und ihr feststellt das garnichtmehr gebannt wird.

Sollte dem so sein, seid ihr hier richtig.

Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.

WICHTIG: Wenn ihr eigene Regeln habt, VORHER den Ordner /etc/fail2ban SICHERN !

Code: Select all

service fail2ban stop

apt purge fail2ban

rm /etc/fail2ban -R

apt install nftables fail2ban

service fail2ban stop
Das im Anhang vorhandene Archiv runterladen und in /etc entpacken.
(Inhalt: Ordner: fail2ban, Ordner: nftables -> fail2ban.conf, Datei: nftables.conf)

Jetzt noch der Ordentlichkeit halber in /var/log den Inhalt der fail2ban.log löschen. (NUR DEN INHALT NICHT DIE DATEI)

Code: Select all

service fail2ban start
Und schon läuft F2B wieder einwandfrei und tut was es soll.

Durch die im Archiv vorhandenen F2B Einstellungen sind folgende Gegebenheiten abgesichert:
  • SSH
  • Apache-Auth
(Inkl. aller KeyHelp User Logs)
  • Apache-BadBots
(Inkl. aller KeyHelp User Logs)
  • Apache-FakeGoogleBots
(Inkl. aller KeyHelp User Logs)
  • ProFTPD FTP-Server
  • PostFix
  • Dovecot
  • MySQL Datenbank Server
(Sehr empfohlen wenn ihr den MySQL Server von aussen erreichbar habt)

Falls ihr noch eigene Regeln hattet müsst ihr diese wieder einspielen und nicht vergessen F2B danach neu zu starten.

Hoffe das hilft dem ein oder anderen der auch grad vor seinem F2B Log saß und sich fragt was da grad abgeht :lol:
Attachments
f2b.tgz
(77.85 KiB) Downloaded 651 times
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by MLan »

OlliTheDarkness wrote: Wed 14. Aug 2019, 15:42 Fail2Ban BugFix (Debian 10) und erweiterte Absicherung
Vielen Dank.
Funktioniert 1A
derFu
Posts: 99
Joined: Sat 28. Apr 2018, 18:46

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by derFu »

Hallo!
OlliTheDarkness wrote: Wed 14. Aug 2019, 15:42 Nachfolgend ein kleines Workaround um F2B wieder sauber arbeiten zu lassen.
Erstmal vielen Dank. Funktioniert!

Allerdings war ich ein wenig irritiert, da ich jetzt nftables und iptables nebeneinander habe. Jedenfalls tauchen die gebannten IPs bei

Code: Select all

iptables -L (-nv)


ebenso auf wie bei

Code: Select all

nft list ruleset
Aber gut, ist ja ein Workaround. Es scheint nicht zu stören. Wahrscheinlich läuft diese Ban-Geschichte irgendwie über iptables zu nftables... ?
Ich muss gestehen, dass ich mich mit der Migration iptables -> nftables noch nicht ausreichend beschäftigt habe.

Dann habe ich noch eine Anmerkung: in meinem Deb 9 gab es in jail.d eine Datei "keyhelp.local" mit dem Inhalt
[DEFAULT]
chain = fail2ban

[keyhelp-phpmyadmin]
enabled = true
port = http,https
filter = keyhelp-phpmyadmin
logpath = /var/log/auth.log
maxretry = 6
und in filter.d analog die keyhelp-phpmyadmin.conf mit den dazugehörigen failregexes, die sich doch vom Jail "phpmyadmin-syslog" unterscheiden. Das Jail sperrte das Login in das phpMyAdmin nach 6 Fehlversuchen und wurde meines Wissens bei der KeyHelp-Installation mit angelegt.
Ich habe die Dateien mal von einem anderen Server wieder eingebaut, das Jail funktioniert - und ich fand das eigentlich auch ganz sinnvoll. Die ist jetzt in dem Archiv nicht mehr enthalten. Dies nur als Hinweis.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

Moin und danke für die Info.
Ich werde das gerne für Montag updaten damit es wieder im Paket enthalten ist.
Bin leider aktuell unterwegs und erst Sonntag Abend wieder Home.

Gruss Olli

P.s
Was IPTables / NFTables angeht kann ich dir keine genaue Info gegeben, da ich den Fehler damals nur festgestellt habe und mir einfach nur eine funktionierende Lösung gebaut habe.
Mit der Materie tief befasst habe ich mich zu dem Zeitpunkt auch noch nicht.
Es ist eine harmonische Co Existenz xD
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Attachments
f2b.rar
(130.92 KiB) Downloaded 477 times
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
passi
Posts: 94
Joined: Sun 29. May 2016, 10:27

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by passi »

Muss sonst irgendetwas beachtet werden? Wie siehts aus, wenn ein KH Update eingespielt wird?!

VG
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

Das KH Update hat keinen Einfluss auf jegliche F2B Änderungen.
Ausgenommen Alexander sorgt dafür weil es nötig ist.
Was aber ohne großen Hinweiß bzw. vorigem Backuo der Originalen Daten nicht passieren wird ;)
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
mills
Posts: 17
Joined: Mon 17. Jun 2019, 08:58

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by mills »

Hallo!

Hab seit einigen Tagen Buster am Server, und nun das Problem, dass fail2ban mit nftables nicht funktioniert.

Hier ein Log-Auszug aus einem Ban-Versuch:

Code: Select all

2020-03-30 14:11:15,890 fail2ban.filter         [11724]: INFO    [recidive] Found 213.225.0.19 - 2020-03-30 14:11:15
2020-03-30 14:11:15,902 fail2ban.utils          [11724]: Level 39 7fe3f057f4e0 -- exec: iptables -w -N f2b-nextcloud
iptables -w -A f2b-nextcloud -j RETURN
iptables -w -I fail2ban -p tcp -m multiport --dports 80,443 -j f2b-nextcloud
2020-03-30 14:11:15,903 fail2ban.utils          [11724]: ERROR   7fe3f057f4e0 -- stderr: "iptables v1.8.2 (nf_tables): Chain 'fail2ban' does not exist"
2020-03-30 14:11:15,903 fail2ban.utils          [11724]: ERROR   7fe3f057f4e0 -- returned 1
2020-03-30 14:11:15,903 fail2ban.actions        [11724]: ERROR   Failed to execute ban jail 'nextcloud' action 'iptables-multiport' info 
Was könnte da an meiner Config noch falsch sein, dass f2b immer noch mit iptables werkelt?

Lg
Andi
User avatar
technotravel
KeyHelp Translator
Posts: 263
Joined: Mon 19. Oct 2020, 11:11

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by technotravel »

OlliTheDarkness wrote: Mon 16. Sep 2019, 18:31 PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Hey Olli,

ich hätte mir das gerne mal angesehen, aber mein 7zip kann dein angeheftetes Archiv nicht öffnen :-(

Könntest du es nochmals hochladen, als .zip vielleicht?

Wäre sehr nett - danke!
Chris
Chers francophones, je traduis KeyHelp en français. S'il y a des erreurs ou des propositions d'amélioration, n'hésitez pas à me contacter !
(Ich übersetze KeyHelp ins Französische)
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

technotravel wrote: Sun 25. Oct 2020, 14:17
OlliTheDarkness wrote: Mon 16. Sep 2019, 18:31 PAKET UPDATE

Wie angekündigt das Paket inkl. der KeyHelp PHPMyAdmin Konfiguration :)
Hey Olli,

ich hätte mir das gerne mal angesehen, aber mein 7zip kann dein angeheftetes Archiv nicht öffnen :-(

Könntest du es nochmals hochladen, als .zip vielleicht?

Wäre sehr nett - danke!
Chris
Hab es dir einmal als Zip umgelegt ;)
Attachments
f2b.zip
Selbe Version wie die vorherige, nur als ZIP.
(145.14 KiB) Downloaded 289 times
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
technotravel
KeyHelp Translator
Posts: 263
Joined: Mon 19. Oct 2020, 11:11

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by technotravel »

Vielen Dank!

Weiteres Feedback wenn ich es mir angesehen habe!

Guten Start in die Woche wünscht
Chris
Chers francophones, je traduis KeyHelp en français. S'il y a des erreurs ou des propositions d'amélioration, n'hésitez pas à me contacter !
(Ich übersetze KeyHelp ins Französische)
webfrequent
Posts: 4
Joined: Fri 4. Jan 2019, 23:56

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by webfrequent »

Es hat nur 1 Jahr gedauert bis ich bemerkt habe das fail2ban auf meinem Debian nicht funktioniert :)

Ich habe noch ein Ruleset für die log4j scans hinzugefügt.

Quelle: https://jay.gooby.org/2021/12/13/a-fail ... 2021-44228
f2b-log4j.zip
added log4j ruleset:
fail2ban/jail.d/log4j-jndi.conf
fail2ban/filter.d/log4j-jndi.conf
(143.99 KiB) Downloaded 160 times
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by tab-kh »

Wo lag denn eigentlich der Fehler? Habe den Thread wegen des neuen Beitrags gerade eben gefunden und gleich mal reingeschaut in die fail2ban.log, sowohl bei Debian 10 als auch Debian 11. Alle haben keine Errors in der fail2ban.log und bannen durchaus auch IPs. Insofern gehe ich davon aus, dass der Fehler mittlerweile seitens Fail2Ban (oder Keyhelp) gefixt ist. Die erweiterte Absicherung muss ich mir aber auch noch anschauen.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by OlliTheDarkness »

tab-kh wrote: Sun 19. Dec 2021, 15:10 Wo lag denn eigentlich der Fehler? Habe den Thread wegen des neuen Beitrags gerade eben gefunden und gleich mal reingeschaut in die fail2ban.log, sowohl bei Debian 10 als auch Debian 11. Alle haben keine Errors in der fail2ban.log und bannen durchaus auch IPs. Insofern gehe ich davon aus, dass der Fehler mittlerweile seitens Fail2Ban (oder Keyhelp) gefixt ist. Die erweiterte Absicherung muss ich mir aber auch noch anschauen.
Schon lang gefixxt :lol:

Betraf damals die Umstellung von 9 nach 10 bezüglich NF Tables
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
webfrequent
Posts: 4
Joined: Fri 4. Jan 2019, 23:56

Re: Fail2Ban BugFix (Debian 10) und erweiterte Absicherung

Post by webfrequent »

Also ich hab mir nie Gedanken um fail2ban gemacht und bin auf den Beitrag gestoßen als ich die log4j rule einbauen wollte.
Die Server sind Debian 9 auf 10 migriert werden aber keine Migration auf 11 mehr machen, da ich auf Ubuntu umgestiegen bin.
Geblockte IPs hatte ich vor der erweiterten Absicherung keine erst nach OlliTheDarkness´s fix läufts bei mir :lol:
Post Reply