pdadmin-forum

pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (9): « erste ... « vorherige 5 6 [7] 8 9 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Server mit Fail2Ban absichern
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 148

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,
habe da nochwas für F2B.

Erstens der Post von msnet
Zitat:
Original von msnet
Statt dessen verwende ich diesen hier, den ich aus den logcheck configs geholt habe:

code:
1:
failregex = User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(no such user\)

Das gleiche gilt auch für den POP3 Filter:
code:
1:
failregex = User [a-zA-Z0-9@._-]+: login failure from <HOST>
zeigt mir mehr matches an als die ursprüngliche Failregexzeile:
code:
1:
failregex = User [-/\w]+.*(?:[a-z]{2,6}): login failure from <HOST>
Zweitens habe ich mir 3 neue Regeln angelegt in der jail.local:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
[FAIL2BAN]
enabled         = true
filter          = fail2ban
banaction       = iptables-allports
protocol        = all
port            = anyport
logpath         = /var/log/fail2ban.log
# findtime: 1 week
findtime        = 604800
# bantime: 1 week
bantime         = 604800
maxretry        = 3


[MANUAL-BLACKLIST]
enabled         = true
banaction       = iptables-allports
protocol        = all
port            = anyport
filter          = ip-blacklist
logpath         = /etc/fail2ban/ip.blacklist
maxretry        = 0
#findtime     = 6 Monate
findtime        = 15552000
#bantime     = solange bis der Server oder F2B neugestartet werden
bantime         = -1

[AUTOMATIC-BLACKLIST]
enabled         = true
banaction       = iptables-allports
protocol        = all
port            = anyport
filter          = f2b-blacklist
logpath         = /var/log/fail2ban.log
maxretry        = 2
#findtime     = 28 Tage
findtime        = 2419200
#bantime     = solange bis der Server oder F2B neugestartet werden
bantime         = -1


Die Filter lauten wie folgt:

fail2ban.conf
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
[Definition]

failregex =     fail2ban.actions: WARNING \[(.*)\] Ban <HOST>


ignoreregex =   fail2ban.actions: WARNING \[FAIL2BAN\] Ban <HOST>
                fail2ban.actions: WARNING \[AUTOMATIC-BLACKLIST\] Ban <HOST>
                fail2ban.actions: WARNING \[MANUAL-BLACKLIST\] Ban <HOST>

ip-blacklist.conf
code:
1:
2:
3:
4:
5:
6:
7:
[Definition]

failregex = <HOST> \[.*\]$


ignoreregex =

f2b-blacklist.conf
code:
1:
2:
3:
4:
5:
6:
7:
[Definition]

failregex =     fail2ban.actions: WARNING \[FAIL2BAN\] Ban <HOST>


ignoreregex =
Bei Manual-Blacklist muss eine leere Datei erstellt werden, z.B. mit Namen: ip.blacklist
Darin könnt ihr dann wenn F2B läuft z.B. folgenden Inhalt einfügen:
code:
1:
<IP> [31/12/2014 00:00:00]
<IP> steht für die IP die gebannt werden soll.
Die IP wird dann von F2B in die Regel z.B. [MANUAL-BLACKLIST] eingetragen und gebannt bis entweder F2B, der Server neu gestartet
oder die IP händisch mit "iptables -D fail2ban-MANUAL-BLACKLIST -s <IP> -j DROP" wieder ausgetragen wird

__________________
MfG

Tealc

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Tealc: 31.01.2015 12:15.

31.01.2015 12:10 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

mir ist heute was aufgefallen was bei meinem filter für smtp-auth durchfällt

code:
1:
2:
3:
failregex = User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)


da war heute eine IP die nicht verschiedene passwörter sondern verschiedene benutzer durchprobiert hat
und die wurde nicht gebannt

warum eigentlich?

so sieht log aus:

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
Oct  9 16:51:04 musen pdadmin[24361]: User sales: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:10 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:51:14 musen pdadmin[24369]: User backup: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:19 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:51:23 musen pdadmin[24383]: User postmaster: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:28 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:51:32 musen pdadmin[24386]: User admin: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:38 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:51:42 musen pdadmin[24395]: User marketing: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:48 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:51:52 musen pdadmin[24411]: User office: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:51:58 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:02 musen pdadmin[24423]: User user: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:07 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:11 musen pdadmin[24441]: User support: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:16 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:20 musen pdadmin[24455]: User contact: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:26 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:29 musen pdadmin[24458]: User service: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:35 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:39 musen pdadmin[24467]: User spam: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:44 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:48 musen pdadmin[24483]: User fax: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:52:53 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:52:57 musen pdadmin[24487]: User webmaster: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:53:03 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:53:06 musen pdadmin[24507]: User news: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:53:12 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:53:16 musen pdadmin[24515]: User billing: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:53:21 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:53:25 musen pdadmin[24529]: User postfix: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:53:30 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:53:34 musen pdadmin[24532]: User customers: smtp-auth login failed from 110.84.129.110 (no such user)
Oct  9 16:53:40 musen qmail-smtpd: qmail-smtpd/VC started
Oct  9 16:53:43 musen pdadmin[24551]: User system: smtp-auth login failed from 110.84.129.110 (no such user)


kann man die regel so einstellen das so was auch gebannt wird?
09.10.2015 22:10 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.327

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Poste mal bitten die beiden kompletten Einträge, also aus der jail.conf und die pdqmail-smtp.conf (oder wie Du sie genannt hast) und welches Linux Du einsetzt.
09.10.2015 22:51 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 148

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi,
solche Einträge in der mail.log habe ich auch oft bei mir werden die gebannt und
wie msnet schon geschrieben hat sollte die Regex so aussehen.
code:
1:
failregex = User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(no such user\)

So klappt das bei mir auch.

Testen kannst du das mit.
code:
1:
fail2ban-regex /pfad zur logdatei/logdatei.log /etc/fail2ban/filters.d/filterdatei.conf


Meine SMTP Config sieht z.B. so aus.
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
[SMTP-BANNED]
enabled         = true
filter          = pdqmail-smtp
action          = iptables-multiport[name=SMTP-BANNED, port="smtp,ssmtp,private2", protocol=tcp]
logpath         = /var/log/mail.info
# findtime      = 20 minutes
findtime        = 1200
# bantime       = 120 minutes
bantime         = 7200
maxretry        = 1


__________________
MfG

Tealc
10.10.2015 09:39 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.327

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich denke hier "/var/log/mail.info" liegt oft der Fehler, da bei CentOS die Datei ja "/var/log/maillog" heißt und wenn dort die falsche Log-Datei steht, dann klappt es natürlich nicht. Darum hatte ich ja auch nach dem kompletten Eintrag gefragt.
10.10.2015 11:27 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
Shackattack
Mitglied


Dabei seit: 16.11.2005
Beiträge: 302
Herkunft: Paderborn

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Also bei mir lag der Fehler an mail.log statt mail.info jetzt klappts auch smile
10.10.2015 15:54 Shackattack ist offline E-Mail an Shackattack senden Beiträge von Shackattack suchen Nehme Shackattack in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

sorry war glaube ich mein fehler, habe wohl beim einrichten des servers alte configs verwendet, die stimmen ja gar nicht mit den "originalen" unglücklich
dann kann es ja auch nicht gehen

aber was ich grad bei fail2ban-regex gemerkt habe, der zeigt ja ganz andere ausgabe wie früher

ich habe aktuell es auf dem jessie laufen

früher war ausgabe IP und wie oft die gefunden wurde, jetzt nur so:

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/pdqmail-smtp.conf
Use         log file : /var/log/mail.info


Results
=======

Failregex: 41 total
|-  #) [# of hits] regular expression
|   1) [41] User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(no such user\)
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [202] MONTH Day Hour:Minute:Second
`-

Lines: 202 lines, 0 ignored, 41 matched, 161 missed
Missed line(s): too many to print.  Use --print-all-missed to print all 161 lines
13.10.2015 22:56 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Nergal
Mitglied


Dabei seit: 13.08.2005
Beiträge: 38

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hat schon mal einer die Regeln für dovecot angepasst?
30.12.2015 13:06 Nergal ist offline E-Mail an Nergal senden Beiträge von Nergal suchen Nehme Nergal in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.327

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Gibt es ein gutes HowTo zu bei Dovecot. Müsste man sich mal anschauen.
30.12.2015 13:19 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 148

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

habe mal ein wenig getestet auf dem Testserver und festgestellt, das die Failregex aus dem Link von Eisenherz funktioniert.

Habe jedes Szenario durchgetestet, von falschen Usernamen und falschen Passwörtern

fail2ban-regex zeigt matches an.

hier meine Filterconfig:
code:
1:
2:
3:
4:
[Definition]
failregex       = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=<HOST>

ignoreregex     =


Außerdem habe ich Fail2ban auf IPV6 erweitert, dies funktioniert auch zuverlässig.

__________________
MfG

Tealc

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von Tealc: 14.02.2016 00:48.

14.02.2016 00:46 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
Seiten (9): « erste ... « vorherige 5 6 [7] 8 9 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de