Kirjoittaja Aihe: Ubuntu 12.04 LTS ja fail2ban  (Luettu 3478 kertaa)

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Ubuntu 12.04 LTS ja fail2ban
« : 26.11.13 - klo:10.00 »
Olen rakentamassa serveriä käyttäen Ubuntu 12.04 LTS:ää. Asensin fail2banin apt-getillä, mutta se ei jostain syystä halua käynnistyä. Asennuksen jälkeen annettu komento sudo service fail2ban status antaa vastaukseksi fail2ban is not running ja restartin yrittäminen antaa myös tulokseksi failin.

Tämä kaikki siis tapahtuu jo ennen kuin olen tehnyt mitään muutoksia konffitiedostoihin yms. Onko muilla ollut samaa ongelmaa Ubuntun 12.04-version kanssa ja jos, niin millä tavalla ongelma on ratkennut?

krautis

  • Käyttäjä
  • Viestejä: 185
  • Mikä lentäen tulee...
    • Profiili

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #2 : 26.11.13 - klo:11.09 »
Tämä kaikki siis tapahtuu jo ennen kuin olen tehnyt mitään muutoksia konffitiedostoihin yms. Onko muilla ollut samaa ongelmaa Ubuntun 12.04-version kanssa ja jos, niin millä tavalla ongelma on ratkennut?

Ohjelma edellyttää varmaan asetustiedoston /etc/fail2ban/jail.local luomisen tiedoston /etc/fail2ban/jail.conf pohjalta. Todennäköisesti sen ei ole tarkoituskaan käynnistyä ennen tätä.

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #3 : 26.11.13 - klo:11.38 »
https://help.ubuntu.com/community/Fail2ban

Eli ilmeisesti fail2ban -serveri ei lähde päälle, mikäli yhtään jailia ei ole asetettu konffitiedostossa arvoon "true". Loogistahan tuo tietysti on.

nm

  • Käyttäjä
  • Viestejä: 16429
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #4 : 26.11.13 - klo:11.54 »
Kokeilin nyt kahdessa omassa koneessani (12.04 ja 13.04) ja molemmissa fail2ban kyllä lähti käyntiin oletusasetuksilla heti asennuksen yhteydessä.

Tuleeko lokitiedostoon /var/log/fail2ban.log lisäinformaatiota virheestä?

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #5 : 26.11.13 - klo:14.31 »
Kokeilin nyt kahdessa omassa koneessani (12.04 ja 13.04) ja molemmissa fail2ban kyllä lähti käyntiin oletusasetuksilla heti asennuksen yhteydessä.

Putsasin kaikki fail2ban*-tiedostot koneelta ja kokeilin asentaa uudestaan. Ja lähtihän se käyntiin heti oletusasetuksilla.

Ilmeisesti vika oli (taas kerran) penkin ja näppiksen välissä.

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #6 : 26.11.13 - klo:15.00 »
Okei, vanha jail.local -tiedosto ei ollut poistunut uninstallin yhteydessä, joten siellä määritelty arvo

Koodia: [Valitse]
mta = ssmtp
aiheutti fail2banin käynnistyksen epäonnistumisen.

Ilmeisesti tuohon pitäisi laittaa arvoksi mail ja sitten tehdä mailutilsista joku symlinkki tjsp. ssmtp:hen. Mutta sepä taitaa olla sitten ihan eri threadin aihe...

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #7 : 28.11.13 - klo:17.19 »
Jatkanpa samassa ketjussa, kun on lisää kysyttävää fail2banista. Sain fail2banin lähettämään minulle postia aina kun se käynnistyy.

Pistin pystyyn svn-serverin, jota pääsee käpistelemään https:n yli. Olen yrittänyt saada fail2banin blokkaamaan IP:ni, mutta se ole ainakaan vielä onnistunut. Eli pystyn yrittämään loggautumista yhä uudestaan ja uudestaan...

/var/log/apache2/error.log:iin tulee uusia rivejä tähän tyyliin:
Koodia: [Valitse]
[Thu Nov 28 16:52:22 2013] [error] [client 192.168.1.10] user foobar not found: /subversion/test_repository

/var/log/fail2ban.logiin ilmestyy aina kolme kappaletta rivejä per loginyritys:
Koodia: [Valitse]
2013-11-28 16:52:23,611 fail2ban.filter : DEBUG  Got event: 1 for /var/log/apache2/error.log
2013-11-28 16:52:23,611 fail2ban.filter : DEBUG  File changed: /var/log/apache2/error.log
2013-11-28 16:52:23,633 fail2ban.filter.datedetector: DEBUG  Sorting the template list

Jail.local (relevantit rivit):
Koodia: [Valitse]
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = -1
maxretry = 2
backend = auto
destemail = xxxx@yyyyy.com
banaction = iptables-multiport
mta = mail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action = %(action_mw)s

[apache]

enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 3

iptables -n -L INPUT:
Koodia: [Valitse]
Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-apache  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0

Restartin yhteydessä fail2ban.logiin ilmestyy (paljon) seuraavanlaisia rivejä, en tosin tiedä liittyvätkö ne asiaan.
Koodia: [Valitse]
2013-11-28 17:09:27,051 fail2ban.filter : DEBUG  Got event: 8 for /var/log/apache2/error.log
2013-11-28 17:09:27,051 fail2ban.filter : DEBUG  File changed: /var/log/apache2/error.log
2013-11-28 17:09:27,126 fail2ban.filter : DEBUG  Processing line with time:1385112908.0 and ip:192.168.1.10
2013-11-28 17:09:27,127 fail2ban.filter : DEBUG  Ignore line since time 1385112908.0 < 1385651367.13 - 600
2013-11-28 17:09:27,180 fail2ban.filter : DEBUG  Got event: 9 for /var/log/apache2/error.log
2013-11-28 17:09:27,182 fail2ban.filter.datedetector: DEBUG  Sorting the template list
2013-11-28 17:09:27,185 fail2ban.filter : DEBUG  Processing line with time:1385380980.0 and ip:192.168.1.10
2013-11-28 17:09:27,185 fail2ban.filter : DEBUG  Ignore line since time 1385380980.0 < 1385651367.19 - 600

Olisko ideoita mistä tätä kannattaisi lähteä perkaamaan?

Scam

  • Käyttäjä
  • Viestejä: 6
    • Profiili
Vs: Ubuntu 12.04 LTS ja fail2ban
« Vastaus #8 : 28.11.13 - klo:17.48 »
Sori kaikille, menee vähän yksinpuheluksi. Mutta sain ongelman ratkaistua! Laitanpa sen tänne jos joku muukin painii tulevaisuudessa saman ongelman kanssa. Eli fail2banin apache-auth.confin defaulttiregex ei jostain syystä toimi apachen logien kanssa.

/etc/fail2ban/filter.d/apache-auth.confin default-regex näyttää tältä:

failregex = ^%(_apache_error_client)s user .* (authentication failure|not found|password mismatch)\s*$

Homma alkaa toimimaan, kun sen vaihtaa tällaiseksi (ilmeisesti aiemmissa fail2baneissa vakiona olleiksi) riveiksi:

failregex = [[]client <HOST>[]] user .* authentication failure
            [[]client <HOST>[]] user .* not found
            [[]client <HOST>[]] user .* password mismatch


Tässä vielä linkki sivuun, josta sain vihiä asiasta: https://github.com/fail2ban/fail2ban/issues/286