[gelöst] fail2ban-Fehler

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
worker777
Beiträge: 103
Registriert: 14.04.2015 07:59:26

[gelöst] fail2ban-Fehler

Beitrag von worker777 » 12.12.2018 16:45:47

Hallo Community,

ich habe jetzt - nach längerer Zeit des Nicht-Durchcheckens meines public Servers - im fail2ban.log entdeckt, dass offensichtlich fail2ban nicht korrekt arbeitet.
Aus den Logbucheinträgen werde ich dennoch nicht schlau, weil mir die Einträge keine genauen Meldungen liefern, mit denen ich - als Laie - etwas anfangen könnte.

Ich habe hier auf pastebin nen kurzen Ausschnitt, der aus dem fail2ban.log ist: https://pastebin.com/j8LFAFW4
Es handelt sich hierbei [vor allem] um die SSH-Regel, bei der keine Banns zustande kommen.
Ich habe auch nichts verändert odg. was fail2ban angeht. Es mag durchaus sein, dass es etwas mit Updates zu tun hat und ich das zuerst übersehen habe.

Kann mir darauf keinen Reim machen. Hab auch schon versucht per iptables (1.6.0) alle Regeln zu löschen und fail2ban neu zu starten - bringt keinen Erfolg.

Hab Debian 9 und die entsprechende Stelle bei der fail2ban-config sieht wie folgt aus:

fail.conf

Code: Alles auswählen

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 3
bantime = 86400
Den Error bei Zeitindex '2018-12-12 15:50:55,379' finde ich sehr merkwürdig. Kann es sein, dass im /var/log/auth.log etwas von fail2ban gesucht/geparst wird, was es nicht finden kann, oder was besagt diese Fehlermeldung?

Danke im Voraus.
Gruß
worker777
Zuletzt geändert von worker777 am 12.12.2018 20:43:10, insgesamt 1-mal geändert.

worker777
Beiträge: 103
Registriert: 14.04.2015 07:59:26

Re: fail2ban-Fehler

Beitrag von worker777 » 12.12.2018 20:42:08

Okay, hab das Problem gefunden, allerdings kann ich mir nicht erklären, wie es zu stande kam.

Alter Config-Eintrag in der 'jail.conf'- Datei war:

Code: Alles auswählen

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

Original (funktionierend) Config-Eintrag war:

Code: Alles auswählen

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s
D.h. das Wort 'chain' war weder definiert, noch im Gebrauch in der alten Konfiguration *kopfkratz* ...

Antworten