fail2ban auf Leap42.1

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema fail2ban auf Leap42.1 gibt es 2 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • fail2ban auf Leap42.1

    Sodale, hallo zusammen.
    ich hab bei mir ein lan-server stehen der per NoIP am www hängt.
    Das OS ist Opensuse Leap 42.1, aktuellster stand.
    SSH wird vom Router (bewusst) nicht von außen akzeptiert, der Server benutzt selbst auch nicht Port 22. (soweit, so sicher)
    Ich möchte jetzt allerdings zusätzlich fail2ban einrichten - mitunter einfach um es mal gemacht zu haben.
    Bisheriger stand:
    1. fail2ban mit Abhängigkeiten installiert (zypper, packman Repo ist aktiv)
    2. systemctl enable fail2ban ausgeführt
    3. systemctl status fail2ban zeigt an dass der dienst läuft
    4. in /etc/fail2ban die datei jail.conf zu jail.local kopiert
    5. in jail.local im Abschnitt [sshd] die zeile enable = true angefügt.
    (ich find im netz auch enabled = true, halte mich hier aber an "Linux - das umfassende Handbuch" von Michael Kofler. die andere Variante schmeißest auch einen error bei systemctl restart fail2ban)
    6. systemctl restart fail2banb ausgeführt
    7. fail2ban-client status aufgerufen
    -> siehe da: "Number of Jails: 0", sprich die ssh Jail ist nicht aktiv. entsprechend kann ich auch beliebig lange versuchen mich anzumelden ohne geblockt zu werden (Testgerät: anderer Laptop)

    Was mach ich da falsch? hängt das mit dem Journaling von Systemd zusammen, das fail2ban die logs von ssh nicht findet? wenn ja - wie behebt man das?
    Da das buch aktuell ist (auch zu Leap) wundert es mich schon - und im netz find ich nix funktionierendes :(

    Vielen Dank für eure Hilfe,
    Felix

    Für den Inhalt des Beitrages 94947 haftet ausdrücklich der jeweilige Autor: flexoliver

  • flexoliver schrieb:

    ich hab bei mir ein lan-server stehen der per NoIP am www hängt.
    Das OS ist Opensuse Leap 42.1, aktuellster stand.
    SSH wird vom Router (bewusst) nicht von außen akzeptiert, der Server benutzt selbst auch nicht Port 22. (soweit, so sicher)

    Warum den ssh-Port umbiegen, wenn der Router eh keine Weiterleitung macht?
    Oder tunnelst du am Router vorbei?

    Ich möchte jetzt allerdings zusätzlich fail2ban einrichten - mitunter einfach um es mal gemacht zu haben.
    Bisheriger stand:
    [...]
    5. in jail.local im Abschnitt [sshd] die zeile enable = true angefügt.
    (ich find im netz auch enabled = true, halte mich hier aber an "Linux - das umfassende Handbuch" von Michael Kofler. die andere Variante schmeißest auch einen error bei systemctl restart fail2ban)

    Ich finde in den configs und auch in der man-page enableD und gehe davon aus, daß die das nicht in mehreren Versionen falsch in ihren Configs haben...
    Die Fehler die ich gesehen habe, beziehen sich NICHT enabled...
    Ist der Fehler geheim, der geworfen wird?

    6. systemctl restart fail2banb ausgeführt
    7. fail2ban-client status aufgerufen
    -> siehe da: "Number of Jails: 0", sprich die ssh Jail ist nicht aktiv. entsprechend kann ich auch beliebig lange versuchen mich anzumelden ohne geblockt zu werden. Was mach ich da falsch? hängt das mit dem Journaling von Systemd zusammen, das fail2ban die logs von ssh nicht findet? wenn ja - wie behebt man das?
    Da das buch aktuell ist (auch zu Leap) wundert es mich schon - und im netz find ich nix funktionierendes :(

    Sag erst mal fail2ban, daß es den Loglevel erhöhen soll. Ich nehme da gerne debug, ist zwar viel Müll dabei, aber evtl. versteckt sich da eine Antwort.

    Ich bekomme z.B. folgendes zu sehen:

    Quellcode

    1. 2016-05-13 03:37:48,005 fail2ban.filtersystemd [13332]: DEBUG Read systemd journal entry: u'2016-05-13T03:37:47.087990 karotte sshd[13501]: Connection from 192.168.2.166 port 40824 on 192.168.2.154 port 22'
    2. 2016-05-13 03:37:48,011 fail2ban.filtersystemd [13332]: DEBUG Read systemd journal entry: u'2016-05-13T03:37:47.159171 karotte sshd[13501]: Failed publickey for florian from 192.168.2.166 port 40824 ssh2: RSA 73:1a:7e:bb:c5:4a:72:44:b7:2d:eb:61:22:20:28:c9 [MD5]'

    D.h. er sieht die Meldungen, aber da paßt evtl. die regex noch nicht, daß er anschlägt.

    Ich hab übrigens noch python-systemd nachinstallieren müssen: software.opensuse.org/package/python-systemd

    flo
    Auch zu finden bei der Mailingliste opensuse-de sowie im IRC als User grossing in den Netzwerken freenode und oftc - querys sind erlaubt, die Antwort kann dauern ;)

    Der Channel zum Forum: ##os-forum auf irc.freenode.net
    Per webchat webchat.freenode.net/##os-forum

    Alle von mir genannten Befehle sind als User auszuführen, außer ich schreibe explizit dazu "als root ausführen"!

    Meine Homepage

    Für den Inhalt des Beitrages 94955 haftet ausdrücklich der jeweilige Autor: grossing

  • Zu wenig Info, was du wirklich am Start hast.
    (Bitte schreibe solche Angaben künftig gleich;
    Nicht "läuft nicht auf port 22" sondern: "läuft nicht auf 22 sondern auf halligalli")


    Prüfe, ob in der fail2ban
    1. der nichtstandard Port des SSH- Dienstes korrekt eingetragen ist.
    2. Füge notfalls ein backend = systemd ein
    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 94985 haftet ausdrücklich der jeweilige Autor: Berichtigung