Moin, nach meinem sshd Problemchen habe ich mal fail2ban installiert und beschäftige mich mit der Konfiguration. Die mit Abstand am häufigsten Einträge im Log sind sshd[26052]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26053]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26056]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root Diese Einträge werden von der bei fail2ban mitgelieferten conf offensichtlich nicht erfasst. Wenn ich in die filter reinschaue, dann merke ich, dass das mit den regex nicht so mein Fall ist. SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein? ^%(__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$ Gruß Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Sun, 15 Feb 2015 15:01, Joachim H.
Moin,
nach meinem sshd Problemchen habe ich mal fail2ban installiert und beschäftige mich mit der Konfiguration.
Die mit Abstand am häufigsten Einträge im Log sind
sshd[26052]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26053]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26056]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root
Diese Einträge werden von der bei fail2ban mitgelieferten conf offensichtlich nicht erfasst.
Wenn ich in die filter reinschaue, dann merke ich, dass das mit den regex nicht so mein Fall ist.
SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein?
^% (__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$
Kleine Änderung am Ende: ...rhost=<HOST> .*$ Also nach <HOST> ein "Leerzeichen" gefolgt von ".*$" damit auch das abschliesende "... user=root" aus dem sshd-Log erfasst wird, und der Eintrag von fail2ban erkannt wird. Ob das mit dem pam_unix so passt, kann ich nicht sagen, wenn nicht, versuch's mal damit: "\(pam_unix\)" raus und "pam_unix\(sshd:auth\):" rein. Sonst, Hut ab! - Yamaban.
moin, hat leider nicht geklappt. Irgendwo ware(en) Syntaxfehler. Die maskierten Klammern waren auch falsch So langsam werd ich mit den regex warm Folgender Eintrag in der filter.d/sshd.conf funktioniert nachweislich ^%(__prefix_line)spam_unix\(sshd:auth\): authentication failure; .* rhost=<HOST> .*\s*$ stellt sich jetzt die Frage nach sinnvollen find- und ban-zeiten. Die Default-Werte dazu sind wohl zu schwach. Mit 10min ban kamen die gleichen Nummern gleich wieder. Ich habe mal alles seeeehr großzügig nach oben erweitert. Gruß joachim Am 15.02.2015 um 15:15 schrieb Yamaban:
SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein?
^% (__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$
Kleine Änderung am Ende: ...rhost=<HOST> .*$ Also nach <HOST> ein "Leerzeichen" gefolgt von ".*$" damit auch das abschliesende "... user=root" aus dem sshd-Log erfasst wird, und der Eintrag von fail2ban erkannt wird.
Ob das mit dem pam_unix so passt, kann ich nicht sagen, wenn nicht, versuch's mal damit: "\(pam_unix\)" raus und "pam_unix\(sshd:auth\):" rein.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sun, 15 Feb 2015 15:01:01 +0100
schrieb "Joachim H."
nach meinem sshd Problemchen habe ich mal fail2ban installiert und beschäftige mich mit der Konfiguration.
Ist nicht ganz Deine Frage, aber nachdem mir fail2ban für dieselbe Aufgabe etwas unkomfortabel erschien, bin ich nach der Lektüre eines iX-Artikels auf denyhosts gewechselt. Ein script im cronjob, ein paar einfache Konfigurationsdateien und das Setup war weitgehend fertig. 3 Fehlversuche von derselben IP und spätestens eine Stunde später ist diese für ein paar Monate auf der blacklist. Es hat seine Beschränkungen, zielt auf den tcp-wrapper statt auf iptables, was natürlich dazu führt, dass man nicht gezielt für bestimmte Ports sperren kann und udp, icmp oder ipsec unberücksichtigt bleiben. User-defined kann es auch RegEx, aber für den "Normalgebrauch" bringt das Script bereits alles integriert mit. BTW: Das Tool habe ich nur auf einem Server im Einsatz, weil dort Passwörter erlaubt sein müssen. Auf den übrigen Servern gilt nur public key authentication und da schenke ich mir das Tool. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Sun, 15 Feb 2015, Joachim H. schrieb:
Die mit Abstand am häufigsten Einträge im Log sind
sshd[26052]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root [..] SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein?
^%(__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$
Probier's mal hiermit: ^%(__prefix_line)spam_unix\(sshd:auth\):\s+authentication failure.*\s+rhost=<HOST>\s+.*$ HTH, -dnh -- Wer heiratet kann Sorgen teilen, die er vorher nicht hatte. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
David Haller -
Joachim H. -
Tobias Crefeld -
Yamaban