ubuntuusers.de

fail2ban funktioniert nicht

Status: Gelöst | Ubuntu-Version: Ubuntu 8.04 (Hardy Heron)
Antworten |

FirePoint

Anmeldungsdatum:
20. Dezember 2008

Beiträge: Zähle...

Hallo,

ich habe folgendes Problem: Ich habe fail2ban installiert und will damit verhindern das sich wer fremdes per SSH auf meinen Server einloggen kann. Dies funktioniert leider nicht. In der auth.log wird nichts mitgeloggt und ich kann mich so oft ich möchte versuchen anzumelden (natürlich von einer anderen IP, nicht vom localhost).

Nun meine Vorgehensweise: Ich habe mit

1
aptitude install fail2ban

fail2ban installiert Dann habe ich in der /etc/fail2ban/jail.conf den Eintrag maxretry = 3 eingestellt.

Danach habe ich den fail2ban dienst neu gestartet

Der SSH Eintrag in der jail.conf sieht jetzt also so aus:

1
2
3
4
5
6
7
8

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3

Weiß nicht mehr was ich noch tuhen soll da ich absoluter Linux Neuling bin.

Danke im voraus für eure Hilfe

tischbein

Avatar von tischbein

Anmeldungsdatum:
21. Juli 2008

Beiträge: 404

FirePoint schrieb:

Hallo,

ich habe folgendes Problem: Ich habe fail2ban installiert und will damit verhindern das sich wer fremdes per SSH auf meinen Server einloggen kann. Dies funktioniert leider nicht. In der auth.log wird nichts mitgeloggt und ich kann mich so oft ich möchte versuchen anzumelden [...]

Deine jail.conf ist nicht korrekt Konfiguriert.

So sollte es eigentlich aussehen:

1
2
3
4
5
6
[ssh]
enabled = true
port    = 22
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 3 

FirePoint

(Themenstarter)

Anmeldungsdatum:
20. Dezember 2008

Beiträge: 10

Funktioniert leider immer noch nicht. Gleiches Problem besteht weiterhin ☹

PS: fail2ban habe ich natürlich neu gestartet

Red_Radish

Anmeldungsdatum:
7. September 2007

Beiträge: 770

FirePoint schrieb:

Dies funktioniert leider nicht. In der auth.log wird nichts mitgeloggt

Also liegt das Problem nicht bei fail2ban, sondern ssh. Solange in auth.log keine Einträge stehen, kann fail2ban nicht aktiv werden.

Hast du mal den loglevel von sshd geändert? (btw: wenn ich mich recht erinne, werden fehlgeschlagene Versuche mit symmetrischen Keys sowieso nicht geloggt; aber da ist brute-force sowieso auswegslos,...)

FirePoint

(Themenstarter)

Anmeldungsdatum:
20. Dezember 2008

Beiträge: 10

radieschen schrieb:

Also liegt das Problem nicht bei fail2ban, sondern ssh. Solange in auth.log keine Einträge stehen, kann fail2ban nicht aktiv werden.

Hast du mal den loglevel von sshd geändert? (btw: wenn ich mich recht erinne, werden fehlgeschlagene Versuche mit symmetrischen Keys sowieso nicht geloggt; aber da ist brute-force sowieso auswegslos,...)

Hm sorry, da ich noch ein echter Einsteiger bin weiß ich nicht wie ich sshd zu konfigurieren habe. Kannst du mir da ein wenig unter die Arme greifen?

Habe in der sshd_config soetwas gefunden:

1
2
3
#Logging
SyslogFacility AUTH
LogLevel INFO

rkabelich

Avatar von rkabelich

Anmeldungsdatum:
6. November 2006

Beiträge: 101

Hallo FirePoint,

hast du schon eine Lösung gefunden? Habe hier nach Umstellung auf 8.04 das gleiche Problem.

Gruß Ronald

rkabelich

Avatar von rkabelich

Anmeldungsdatum:
6. November 2006

Beiträge: 101

Hab noch einen Nachtrag.

May 26 09:35:55 sysubu sshd[7555]: Failed password for root from 91.97.104.20 port 39625 ssh2 May 26 09:36:06 sysubu last message repeated 3 times

Könnte es daran liegen, dass die eigentliche Fehlermeldung gar nicht wiederholt wird, sondern statt dessen "message repeatet 3 times" ausgegeben wird?

Gruß Ronald

rkabelich

Avatar von rkabelich

Anmeldungsdatum:
6. November 2006

Beiträge: 101

Hat niemand einen Rat???

Red_Radish

Anmeldungsdatum:
7. September 2007

Beiträge: 770

rkabelich schrieb:

Könnte es daran liegen, dass die eigentliche Fehlermeldung gar nicht wiederholt wird, sondern statt dessen "message repeatet 3 times" ausgegeben wird?

ja.

Schau dir mal die Konfigurationsdateien genauer an. fail2ban ist recht simpel gestrickt. Irgendwo ist ein reguläre Ausdruck für ssh-Fehlermeldungen definiert. Wenn die Fehlermeldung sich nicht dreimal wiederhohlt, sondern "message repeatet ..." ausgegeben wird, klappt es eben nicht mehr (abhängig natürlich von deiner Konfiguration von fail2ban )

rkabelich

Avatar von rkabelich

Anmeldungsdatum:
6. November 2006

Beiträge: 101

Hi Red Radish,

ja, genau. Steht in der /etc/fail2ban/filter.d/sshd.conf

Hab die geändert und nun gehts.

Thx

Antworten |