Fail2ban nem elemzi a logokat, nem bannol senkit [Megoldva]

kalmarr

Sziasztok, egész hétvégén a Fail2ban-el játszok, de az az érzésem, hogy nem fut jól, soha nem Bannol egyetlen egy IP-t sem. pl: #cat /var/log/mail.log | grep warning -> nem teljes csak a töredéke....... http://paste.ubuntu.com/15326807/ Hasonló a helyzet a syslogban szerintem vannak benne próbálkozások, de nem történik semmi.


# fail2ban-client status
Status
|- Number of jail: 31
`- Jail list: pure-ftpd, sendmail-auth, xinetd-fail, imscp, apache-multiport, apache-overflows, ssh, sasl, apache, apache-noscript, apache-modsecurity, pam-generic, ssh-iptables, postfix, ip-blacklist, apache-nohome, ssh-ddos, thp-ssh, ssh-blocklist, dropbear, mysqld-auth, sasl-iptables, rainloop, ssh-bsd-ipfw, roundcube, apache-tcpwrapper, dovecot, apache-badbots, nginx-http-auth, sendmail-reject, proftpd

A Fail2ban hibamentesen fut a rendszeremben! Elvileg ezek közül valamelyik szűrőnek meg kellene fognia már a fail2bannek. Ezzel szeszemben a Fail2ban logja üres, csak az indítási bejegyzéseim vannak Info logbejegyzés mellett.. Tűzfalamban is meg vannak a fail2ban bejegyzések. http://paste.ubuntu.com/15326809/ Megnéztem már az Debian GNU/Linux 8.3 (jessie) alap csomagját, legfrissebbet 0.9-es verziót és most a Fail2Ban v0.8.14 fut, de egyik sem talált soha semmit. Amit tapasztalok, hogy a log elemzések nem futnak, le valamiért, nem elemzi a logokat megfelelően a Fail2ban. Előre is köszönöm a segítségeteket és bízok benne, hogy rá tudok jönni a "hiba" okára, illetve kíváncsi lennék, hogy másnál mi a helyzet, mert nem csak egy szerveren van fent, hanem Ubuntu 14.04és ott is ugyan ez a helyzet. Így lehet más is hamis biztonság érzetben van.... Kalmi Szek. Htibi A hasonló, hosszú szövegeket, logokat a http://paste.ubuntu.com -ra tedd, ide pedig csak a linket! (Harmadjára szó nélkül rejtem az ilyen bejegyzésedet. :-()

gytoth

Az /etc/fail2ban/jail.conf tartalma is érdekes lenne a számunkra. Az is kérdés, hogy a védeni kívánt szolgáltatások közül melyek futnak a rendszereden?

kalmarr

gytothSzia, köszi előre is. Másolom a .confokat. jail.local - http://paste.ubuntu.com/15327614/ fail2ban.conf - http://paste.ubuntu.com/15327619/ A Szűrők gyáriak, de itt egy pici módosítás lett rajta, de ez se hatja meg a Fail2ban-t postfix-sasl.conf - http://paste.ubuntu.com/15327626/ #ps aux | grep fail2ban root 1534 1.2 0.1 2564612 26596 ? Sl márc06 29:53 /usr/bin/python /usr/local/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid root 3524 0.0 0.0 5824 1380 pts/1 S+ 12:35 0:00 tail -f /var/log/fail2ban.log Egy kis mail.log #cat /var/log/mail.log | grep warning http://paste.ubuntu.com/15327641/ (Szerintem ma egész nap próbálkozik valaki). A Fail2ban logom az újraindítás óta meg se mozdult. Összefoglalva kizártnak tartom, hogy ilyen jelzésekkel ne kerülne BAN-ra pl: 186.251.102.194 IP.

kalmarr

gytothKüldöm: http://paste.ubuntu.com/15330438/ Szerintem a jail.conf az nagyon nem játszik, ha van jail.local. Elviekben mindegyik fut (nincs hiba a log keresésben sem).

gytoth

És még valami: Alapértelmezetten 600 másodpercen belül kell a sikertelen próbálkozásoknak bekövetkezniük. A próbálkozások számát a maxretry paraméter szabályozza, nálam ez 3. Ahogy nézem a mellékelet logot, ott 600 másodpercen belül csak 2 próbálkozás van SASL esetében, tehát valószínűleg ez nem elég ahhoz, hogy banolja az IP-t. Persze ehhez látni kellene a jail.conf-ot, ahogy írtam. A postfix bejegyzésekkel nem fog kezdeni semmit.

gytoth

kalmarrTeljesen jónak tűnik. Megállt a tudományom. Néhány megjegyzésem van csak. A 1800000 sec findtime ugyan nem hiba, de szerintem indokolatlanul sok. Ez közel 20 nap, ami alatt iszonyat sok adatot kell tárolni, elemezni. A fail2ban elsősorban jelszó próbálgatás ellen jó, amelyet szkriptek végeznek néhány perc alatt. Ha valaki egy óra alatt próbálkozik háromszor, az nagy veszélyt nem jelent. Egyszóval szerintem, max. 3600 sec findtime elegendő. Sajnos regex-ben nem vagyok jó, ezért nem látom, mi indokolta a szűrő változtatását? Előtte sem ment? Nálam így néz ki a SASL regex: failregex = (?i): warning: [-._\w]+\[\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$ Debian 7-en használom, kifogástalanul megy.

H.Tibor87

kalmarr[ssh] enabled = true port = 3791 filter = sshd logpath = /var/log/auth.log maxretry = 3 banaction = iptables-multiport-permanent #action = sendmail-whois[name=SSH, logpath=/var/log/auth.log, dest="%(destemail)s", sender="%(sender)s", sendername="%(sendername)s"] action = %(action_mwl)s bantime = -1 bantime = -1 ?!?

kalmarr

gytothPont ez a bajom nekem is, hogy ennek menni kellene még a 0.8x-es verziót nem teszteltem, ami anno futott Debian7-en nekem is... Mellesleg amint írtam is, hogy Debian 8-at nézem most, de ugyan ez a helyzet egy Ubuntu 14.04-es szerveren is, ami végleg nem lehet már. Összességében olyan érzésem van, mintha nem elemezne semmit, mert ha az megtörténne, akkor már BAN-olna, mivel az iptables szerintem jól konfigurálja. findtime: ez már kínomba tettem bele, hátha figyeli "jobban" a logot. Conf: Igen előtte se ment. Ahogyan én értem csak a nagybetűket figyeli külön. Neked milyen verziód van, illetve küldenétek egy regex tesztet, hogy mit ad vissza, ha jó (esetleg élő logra, illetve az általam küldöttre)? Az enyém: fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix-sasl.conf http://paste.ubuntu.com/15328953/ Teszt log: http://paste.ubuntu.com/15328972/ Ami még eszembe jutott a tesztnél, hogy ha sok a sor akkor ezt írja ki: Lines: 55847 lines, 0 ignored, 1168 matched, 54679 missed Missed line(s): too many to print. Use --print-all-missed to print all 54679 lines Ez nem lehet valami hiba? Igaz emeltem a sor figyelést, de akkor se történt semmi....:(

kalmarr

H.Tibor87Arra gondolsz, hogy ez "bantime = -1" felesleges?

gytoth

H.Tibor87A bantime = -1 jó, ez a folyamatos blokkolás. 0.6-os verziótól van. ver. 0.6.1 (2006/03/16) - stable ---------- - Added permanent banning. Set banTime to a negative value to enable this feature (-1 is perfect).

gytoth

kalmarrNálam 0.8.6-3 fut. A tesztet talán holnap tudom majd megcsinálni.

a mester

kalmarrNem értek hozzá, de szerintem nem felesleges, hanem rossz.

kalmarr

a mesterNem, amit én értettem a leírásokból a "-1" a végleges kitiltást jelenti.

gytoth

Úgy látom, más is belefutott ebbe a problémába: https://www.howtoforge.com/community/threads/fail2ban-postfix-sasl-conf-not-working-with-default-regex-filter.71081/ Azt írja a téma indító, hogy kicserélte a regexet arra, ami nálam is van a 7-esen, és működik. Próbáld meg!

kalmarr

gytothItt nekem az lenne a kérdésem, hogy minek kellene lenni a kimenetnek? Annak amit kapok, vagy csak IP-knek? Teszt log: http://paste.ubuntu.com/15330453/

gytoth

kalmarrNálam ez: http://pastebin.com/t6e95Hb8

kalmarr

gytothHűha teljesen más a kimenete. Ha jól láttam Te sajál log-ra futtatad, amit az enyém nem is enged (túl sok sor miatt). Elkérhetem tőled a .conf-ot, esetleg a log töredékét? Köszi! Kalmi

gytoth

kalmarrPersze, elküldve.

kalmarr

Egy hetes agyalásom eredménye: ignoreip = 127.0.0.1/8, xxx.xxx.xxx.xxx A vessző!!! Helyesen: ignoreip = 127.0.0.1/8 xxx.xxx.xxx.xxx Ennyi... és helyesen működik!

Htibi

kalmarr(Tökéletesen olvasható, érthető így is: Megoldva, akkor miért kell kiabálni: MEGOLDVA. :-(

Következő oldal »