Ich habe hier ein internes System das eigentlich durch eine eigene Firewall geschützt wird. Trotzdem soll jetzt fail2ban zusätzlich dafür sorgen das fehlerhafte ssh Logins etc. geblockt werden. Benötigt fail2ban zwingend iptables? Derzeit ist die Firewall auf dem suse-System deaktiviert. Ansonsten die Frage ob es eine alternative Lösung gibt ssh-Logins zu blocken. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 16.09.2010 15:34, Ralf Prengel wrote:
Ich habe hier ein internes System das eigentlich durch eine eigene Firewall geschützt wird. Trotzdem soll jetzt fail2ban zusätzlich dafür sorgen das fehlerhafte ssh Logins etc. geblockt werden. Benötigt fail2ban zwingend iptables? Derzeit ist die Firewall auf dem suse-System deaktiviert. Ansonsten die Frage ob es eine alternative Lösung gibt ssh-Logins zu blocken.
Die Aktionen bei Fail2Ban können konfiguriert werden, aber iptables ist die voreingestellte Aktion. Was hindert dich, die iptables-Befehle ausführen zu lassen durch fail2ban? Die Firewall muss nicht laufen, um iptables zu steuern. Denyhosts ist eine Alternative. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.09.2010 15:55, schrieb Sandy Drobic:
On 16.09.2010 15:34, Ralf Prengel wrote:
Ich habe hier ein internes System das eigentlich durch eine eigene Firewall geschützt wird. Trotzdem soll jetzt fail2ban zusätzlich dafür sorgen das fehlerhafte ssh Logins etc. geblockt werden. Benötigt fail2ban zwingend iptables? Derzeit ist die Firewall auf dem suse-System deaktiviert. Ansonsten die Frage ob es eine alternative Lösung gibt ssh-Logins zu blocken.
Die Aktionen bei Fail2Ban können konfiguriert werden, aber iptables ist die voreingestellte Aktion. Was hindert dich, die iptables-Befehle ausführen zu lassen durch fail2ban? Die Firewall muss nicht laufen, um iptables zu steuern.
Denyhosts ist eine Alternative.
Ich habe noch nichts mit fail2ban gemacht. Ich suche auch noch eine brauchbare Doku für Suse. unter /usr/share/packages liegt hier nur allgemeiner Kram. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.09.2010 15:55, schrieb Sandy Drobic:
On 16.09.2010 15:34, Ralf Prengel wrote:
Ich habe hier ein internes System das eigentlich durch eine eigene Firewall geschützt wird. Trotzdem soll jetzt fail2ban zusätzlich dafür sorgen das fehlerhafte ssh Logins etc. geblockt werden. Benötigt fail2ban zwingend iptables? Derzeit ist die Firewall auf dem suse-System deaktiviert. Ansonsten die Frage ob es eine alternative Lösung gibt ssh-Logins zu blocken.
Die Aktionen bei Fail2Ban können konfiguriert werden, aber iptables ist die voreingestellte Aktion. Was hindert dich, die iptables-Befehle ausführen zu lassen durch fail2ban? Die Firewall muss nicht laufen, um iptables zu steuern.
Denyhosts ist eine Alternative.
schein jetzt zu laufeb xxx:/etc/fail2ban # fail2ban-client start WARNING 'action' not defined in 'php-url-fopen'. Using default value WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value 2010-09-16 16:56:56,545 fail2ban.server : INFO Starting Fail2ban v0.8.4 2010-09-16 16:56:56,547 fail2ban.server : INFO Starting in daemon mode qui-gon:/etc/fail2ban # fail2ban-client status Status |- Number of jail: 1 `- Jail list: ssh-iptables Kann es sein das das Startscript aus dem Packman-Paket eine Macke hat? Nutze ich das Script startet offenbar der Server nicht. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
Am 16.09.2010 15:55, schrieb Sandy Drobic:
Denyhosts ist eine Alternative.
schein jetzt zu laufeb xxx:/etc/fail2ban # fail2ban-client start WARNING 'action' not defined in 'php-url-fopen'. Using default value WARNING 'action' not defined in 'lighttpd-fastcgi'. Using default value 2010-09-16 16:56:56,545 fail2ban.server : INFO Starting Fail2ban v0.8.4 2010-09-16 16:56:56,547 fail2ban.server : INFO Starting in daemon mode qui-gon:/etc/fail2ban # fail2ban-client status Status |- Number of jail: 1 `- Jail list: ssh-iptables
Kann es sein das das Startscript aus dem Packman-Paket eine Macke hat? Nutze ich das Script startet offenbar der Server nicht. Das kann ich zumindest teilweise bestätigen.
Bei mir startet er mittlerweile zuverlässig, wenn ich ihn erst viel später starten lasse. Dieses Verhalten habe ich aber auch mit dem 'normalen' fail2ban bei mir hier beobachtet (openSUSE 11.3) Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 16.09.2010 17:12, Manfred Kreisl wrote:
Ralf Prengel schrieb:
Kann es sein das das Startscript aus dem Packman-Paket eine Macke hat? Nutze ich das Script startet offenbar der Server nicht. Das kann ich zumindest teilweise bestätigen.
Bei mir startet er mittlerweile zuverlässig, wenn ich ihn erst viel später starten lasse. Dieses Verhalten habe ich aber auch mit dem 'normalen' fail2ban bei mir hier beobachtet (openSUSE 11.3)
Bei 11.1 habe ich das Problem, dass der Service zwar startet, aber ein "rcfail2ban status" ein Timeout liefert. Da scheint in der Tat ein Bug im Startscript zu sein. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic schrieb:
Bei 11.1 habe ich das Problem, dass der Service zwar startet, aber ein "rcfail2ban status" ein Timeout liefert. Da scheint in der Tat ein Bug im Startscript zu sein. Dazu kann ich natürlich nichts mehr zu sagen, die 11.1 (war eh nur Zwischenstation zwischen 11.0 und 11.2) und 11.2 habe ich schon hinter mich gebracht ;-)
Bei mir ist es bei der 11.3 so, dass obwohl gestartet der rcfail2ban status einfach unused vermeldet. Ich vermute eher mal, dass fail2ban einfach zu früh gestartet wird. Habe aber ehrlich gesagt keine Lust das herauszufinden, die ewige Booterei nervt nämlich. Ich entsinne mich vage, dass bei der 11.2 (erst ab da hab ich mich mit fail2ban befasst) anfänglich alles tadellos klappte. Dann, vermutlich nach einem Update, wollte der Dienst überhaupt nicht mehr nach einem Reboot laufen. Da musste ich dann jedes Mal das rpm neu installieren, das brachte es dann wieder zum Laufen, bis zum nächsten Reboot halt. Und bei der 11.3 s.o. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.09.2010 19:20, schrieb Sandy Drobic:
On 16.09.2010 17:12, Manfred Kreisl wrote:
Ralf Prengel schrieb:
Kann es sein das das Startscript aus dem Packman-Paket eine Macke hat? Nutze ich das Script startet offenbar der Server nicht. Das kann ich zumindest teilweise bestätigen.
Bei mir startet er mittlerweile zuverlässig, wenn ich ihn erst viel später starten lasse. Dieses Verhalten habe ich aber auch mit dem 'normalen' fail2ban bei mir hier beobachtet (openSUSE 11.3)
Bei 11.1 habe ich das Problem, dass der Service zwar startet, aber ein "rcfail2ban status" ein Timeout liefert. Da scheint in der Tat ein Bug im Startscript zu sein.
Hast du zufällig eine funktionierende Version da? Das war wieder der Klassiker. 5 Minuten installieren und 2 Stunden suchen bis man raus hat das man nichts falsch gemacht hat. Gru´ß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 17.09.2010 07:28, Ralf Prengel wrote:
Am 16.09.2010 19:20, schrieb Sandy Drobic:
On 16.09.2010 17:12, Manfred Kreisl wrote:
Ralf Prengel schrieb:
Kann es sein das das Startscript aus dem Packman-Paket eine Macke hat? Nutze ich das Script startet offenbar der Server nicht. Das kann ich zumindest teilweise bestätigen.
Bei mir startet er mittlerweile zuverlässig, wenn ich ihn erst viel später starten lasse. Dieses Verhalten habe ich aber auch mit dem 'normalen' fail2ban bei mir hier beobachtet (openSUSE 11.3)
Bei 11.1 habe ich das Problem, dass der Service zwar startet, aber ein "rcfail2ban status" ein Timeout liefert. Da scheint in der Tat ein Bug im Startscript zu sein.
Hast du zufällig eine funktionierende Version da? Das war wieder der Klassiker. 5 Minuten installieren und 2 Stunden suchen bis man raus hat das man nichts falsch gemacht hat.
Sorry, ich habe einige Sachen mit höherer Priorität, um die ich mich kümmern muss. Ärgerlich ist es nur, da ich die Abfrage in Nagios benutze und der Dienst im Augenblick als Unknown geführt wird. CRIT: Service fail2ban is not running! , result: 768, command said: Checking for service fail2ban ..unused Wenn ich etwas Zeit habe, werde ich mir das anschauen, aber das kann etwas dauern. (^-^) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Ralf,
Ansonsten die Frage ob es eine alternative Lösung gibt ssh-Logins zu blocken.
Fail2ban ist ganz gut, auch wenn ich's bisher leider nicht für alle Dienste (auf einem Ubuntu) richtig konfiguriert bekommen habe. (Keine Ahnung warum, aber FTP- und auch IMAP-Zugriffe werden von meiner Version nicht korrekt blockiert.) SSH hingegen funktioniert einwandfrei. Übrigens, ich empfehle außerdem den SSH-Port auf was anderes als 22 zu legen, falls Du viel unerwünschten Verkehr dort hast. Das schont deine Logfiles. Seitdem ich das umgebogen habe, ist es dort viel ruhiger und damit aufgeräumter... ;) Ciao, Marko
participants (5)
-
Manfred Kreisl -
Marko Käning -
Ralf Prengel -
Ralf Prengel -
Sandy Drobic