fail2ban ssh-Tunnel Nextcloud

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 07.11.2019 18:32:28

Meine Situation:
Von meinem Homeserver "baue" ich einen ssh-Tunnel zu einem vServer.
Auf dem Homeserver ist eine Nextcloud installiert, die ich dort mit fail2ban schützen möchte.

Das Problem:
fail2ban (auf dem Homeserver installiert) blockiert nicht die nicht erwünschten IP‘s.
Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.

Die google-Suche weist mich darauf hin, dass dies wohl daran liegt, dass die IP‘s durch den ssh-Tunnel "durchgereicht" werden und fail2ban auf dem Homeserver nicht ohne weiteres die "Quell-IP" ermitteln kann.

Ich denke, auch hier wird das Problem angesprochen:
https://nerdblog.steinkopf.net/2016/12/ ... rse-proxy/

Allerdings ist der Eintrag schon recht alt und hilft mir nicht weiter.
Was ist zu beachten?

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von Blackbox » 08.11.2019 13:26:23

scriptorius hat geschrieben: ↑ zum Beitrag ↑
07.11.2019 18:32:28
Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.
Diese Darstellung ist wertlos, ohne entsprechende Logfiles und deine Konfiguration.
Für lange Ausgaben (über 6 Zeilen) deiner Konfiguration und deines Logfiles verwendet du bitte NoPaste.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 08.11.2019 13:58:32

Guten Tag,
vielen Dank für Deine Antwort.

Mir geht es erstmal nicht darum, eine konkrete Lösung für meinen konkreten Fall zu finden, sondern um allgemeine Information zu der oben angesprochenen Thematik (fail2ban, ssh-Tunnel, Nextcloud).

Die konkrete Lösung für meinen Fall versuche ich dann (erstmal) selber zu finden.

Wenn ich es richtig verstanden habe, ist eine Fail2ban-Action zu konfigurieren.
Kannst Du mir dazu etwas sagen?
Also mir geht es erstmal darum, ein allgemeines Verständnis zu entwickeln, warum eine "normale" Konfiguration nicht ausreicht. Bis jetzt habe ich nur Vermutungen.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von Lord_Carlos » 08.11.2019 14:47:35

Wie werden die Daten vom vServer zu deinem Heimrechner weiter geleitet?
Hast du schon mal "fail2ban behind proxy" gesucht? Das gibt enige vorschlaege. Jedenfalls wenn auf dem vServer die Anfragen via einem Reverse Proxy weitergeleitet werden.
Edit: Oh, habe deinen Beitrag nicht genau gelesen und erst jetzt bemerkt das du dies schon weist. Mein Fehler :oops:
Also benutzt du einen reverse Proxy? Und X-Forwarded-For ist eingerichtet?
Zuletzt geändert von Lord_Carlos am 08.11.2019 15:03:41, insgesamt 2-mal geändert.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von TomL » 08.11.2019 14:57:16

scriptorius hat geschrieben: ↑ zum Beitrag ↑
07.11.2019 18:32:28
fail2ban (auf dem Homeserver installiert) blockiert nicht die nicht erwünschten IP‘s.
Da ich fail2ban (ohne ssh-Tunnel) schon öfter installiert und eingerichtet habe, bin ich mir ziemlich sicher, erstmal grundsätzlich nichts falsch gemacht zu haben.
Nach meinem Verständnis hat fail2ban nichts mit dem Betrieb von owncloud zu tun, oder einem ssh-Tunnel... und es wird auch diese Prozesse nicht unmittelbar beeinflussen. fail2ban selber blockiert imho auch keine IP-Adressen, es wertet geschriebene Logs aus, ermittelt aus diesen Logs subversiv scheinende IP-Adressen und fügt dann eine Regel im Paketfilter (iptables oder nftables) des Kernels an. Und erst diese Filterregel verwirft die TCP-Pakete bestimmter IP-Adressen. Im Endeffekt reagiert fail2ban somit aufgrund vergangener Ereignisse.

Wann kann fail2ban seinen Job nicht richtig tun?
  • Wenn vielleicht die Log-Einstellungen von nextcloud oder ssh falsch sind, so das fail2ban gar nix findet... keine Ahnung was man da falsch machen kann (?loglevel?)
  • Wenn vielleicht die Bedingungen für nextcloud oder ssh in fail2ban fehlerhaft sind... also Syntax- oder Expressionfehler
  • Wenn vielleicht die Bedingungen für nextcloud oder ssh in fail2ban zwar syntaktisch korrekt sind, aber hinsichtlich der Erkennung fehlerhaft sind
  • Wenn vielleicht ein Reverse-Proxy vorgaukelt, dass alle Pakete lokale Pakete sind
Wie blackbox schon sagte, ohne Dein Setup zu kennen, kann man da gar nix zu sagen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von MSfree » 08.11.2019 15:08:23

TomL hat geschrieben: ↑ zum Beitrag ↑
08.11.2019 14:57:16
Wann kann fail2ban seinen Job nicht richtig tun?...
Man muß dabei berücksichtigen, daß ein Zugriff über einen SSH-Tunnel für die Serverseite immer wie ein lokaler Netzwerkzugriff aussieht.

Beispiel:
Wenn der Server die IP-Adresse 10.0.0.1 hat, dann ist die Quell-IP-Adresse der Netzwerkpakete, die aus dem Tunnel kommen, auch 10.0.0.1. Hier mit fail2ban anzusetzen, ist also nicht zielführend.

Man muß verhindern, daß überhaupt ein SSH-Tunnel aufgebaut werden kann. fail2ban muß also die SSH-Logmeldungen überwachen.

Wenn Nextcloud nur aus dem lokalen Netz erreichbar ist und von aussen komplett blockiert wird, braucht sich fail2ban um Nextcloud überhaupt nicht zu kümmern. Da der Zugriff dann nur im LAN und aus dem SSH-Tunnel kommen kann, und der SSH-Tunnelzugriff ist ja effektiv ein Zugriff aus dem lokalen Netzwerk.

TomL

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von TomL » 08.11.2019 15:20:49

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
08.11.2019 15:13:25
Ich vermute sehr sehr stark das OP aus dem internet auf via dem vServer auf sein Nextcloud zugreifen will.
Und die Loesung mit fail2ban steht in dem link den er selber gepostet hat. Angenommen er benutzt ein reverse proxy auf dem vServer und leitet es nicht anderweitig weiter.
Aber dann ist doch der Homeserver der falsche Ansatz für fail2ban... dann muss doch bereits auf dem vserver verhindert werden, dass überhaupt weitere Versuche für eine SSH-Verbindung durchgeführt werden können. In diesem Fall würde ich versuchen, TCP-Pakete mit dem conntrack-state new direkt auf dem VServer zu verwerfen, wenn eine IP hartnäckig in kurzer Zeit immer wieder auftaucht. Ob fail2ban dafür das richtige Werkzeug ist, weiss ich nicht... ich vermute eher nicht oder es ist zu träge.


*uuups*... worauf hab ich denn jetzt geantwortet....? ... 8O

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von Lord_Carlos » 08.11.2019 15:34:23

TomL hat geschrieben: ↑ zum Beitrag ↑
08.11.2019 15:20:49

*uuups*... worauf hab ich denn jetzt geantwortet....? ... 8O
Auf ein Beitrag den ich wieder geloescht habe. Zu harsche Wortwahl meinerseits und mir ist dann auch aufgefallen das es dann schwer wird vom Heimrechner aus zu blocken.

Wie dem auch sei, erstmal muessen wir wissen ob OP ueberhaupt ein proxy benutzt.
Und dann muss ggf fail2ban von Heimserver auf iptables auf dem vserver zugreifen, oder fail2ban auf dem vServer auf die logs des Heimservers. Oder oder oder :)

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 08.11.2019 19:28:03

Hallo,

vielen Dank für die Antworten, jetzt habe ich wieder einige Hinweise, denen ich folgen kann:
Und dann muss ggf fail2ban von Heimserver auf iptables auf dem vserver zugreifen, oder fail2ban auf dem vServer auf die logs des Heimservers. Oder oder oder :)
Logisch wäre jetzt für mich, wenn fail2ban auf dem Homeserver auf die logs (und die darin protokollierten, gescheiterten Verbindungsversuche) des vServers zugreift, denn über die IP des vServers greife ich ja durch den Tunnel auf die Nextcloud des Homeservers zu, oder?

Naja, wie dem auch sei, ich lerne gerade wieder eine Menge, das freut mich ...

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 08.11.2019 20:15:48

... eine Frage hierzu, das ist mir noch nicht ganz klar:
Man muß verhindern, daß überhaupt ein SSH-Tunnel aufgebaut werden kann. fail2ban muß also die SSH-Logmeldungen überwachen.
Wie meinst Du das?
Der Tunnel ist ja die ganze Zeit aufgebaut.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von MSfree » 08.11.2019 20:42:34

scriptorius hat geschrieben: ↑ zum Beitrag ↑
08.11.2019 20:15:48
Der Tunnel ist ja die ganze Zeit aufgebaut.
Das ist keine gute Idee.Damit stellst du deinen Nextcloud-Server praktisch ungeschützt ins Internet. Da kann auch fail2ban nichts mehr ausrichten, falls jemand deine Wolke kapern will.

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 08.11.2019 21:02:40

Wieso das?
Also "geschützt" wird der Zugang zur Nextcloud doch durch Nutzername, Passwort, integrierte brute-force-protection, trusted domains etc.

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 08.11.2019 21:22:48

... ja, ok, ich denke, wenn ein Spezialist mit genügend Ressourcen gezielt meinen kleinen Homeserver alleine "knacken" will, dann hilft kein Schutz der Welt.
Ich möchte nur verhindern, dass ich durch automatisiertes cracken Opfer werde.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von Lord_Carlos » 09.11.2019 01:08:06

scriptorius hat geschrieben: ↑ zum Beitrag ↑
08.11.2019 19:28:03
Logisch wäre jetzt für mich, wenn fail2ban auf dem Homeserver auf die logs (und die darin protokollierten, gescheiterten Verbindungsversuche) des vServers zugreift, denn über die IP des vServers greife ich ja durch den Tunnel auf die Nextcloud des Homeservers zu, oder?
Wenn die logs vom vServer ausreichen, dann kannst du auch alle da laufen lassen.
Aber kannst du auf dem vServer erkennen wenn jemand das PW falsch eingegeben hat?

Ich bin leider kein ip / nftables experte. Ich kann nicht sehen wie du eine internet IP auf dem Heimrechner bannen kannst.
Deswegen war meine Idee das blocken den vServer zu ueberlassen. Der muss aber wissen ob jemand das PW mehrfach eingegeben hat.
Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.

Ob du ein reverse proxy benutzt wissen wir immer noch nicht :P

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 09.11.2019 07:48:10

Ob du ein reverse proxy benutzt wissen wir immer noch nicht :P
Laut Anleitung baue ich einen Tunnel mit der SSH-Option Remote Forwarding, der vServer dient als proxy.
Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.
Wie funktioniert das grundsätzlich?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von Lord_Carlos » 09.11.2019 11:39:56

scriptorius hat geschrieben: ↑ zum Beitrag ↑
09.11.2019 07:48:10
Ob du ein reverse proxy benutzt wissen wir immer noch nicht :P
Laut Anleitung baue ich einen Tunnel mit der SSH-Option Remote Forwarding, der vServer dient als proxy.
Jo, mit SSH wird der Heimrechner mit der Vserver verbunden. Aber irgendwie muss der vServer ja wissen das http Anfragen vom Internet an den Heimrechner weitergeleitet werden muessen. Wie passiert das?
scriptorius hat geschrieben: ↑ zum Beitrag ↑
09.11.2019 07:48:10
Einfachste waere die logs vom Heimrechner immer auf den vServer zu pushen.
Wie funktioniert das grundsätzlich?
Vielleicht einfach nur jede Minute via cron / systemd.timer die logs mit rsync rueber schieben?
Oder vielleicht kann dein webserver logs remote speichern?
Oder vielleicht am besten ein log server installieren?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

scriptorius
Beiträge: 180
Registriert: 20.02.2004 18:52:14

Re: fail2ban ssh-Tunnel Nextcloud

Beitrag von scriptorius » 10.11.2019 08:18:02

Dieser "Weg" scheint mir für meinen Anwendungsfall zu aufwendig.
Ich habe auf der Suche einiges gelesen über den ziemlich neuen FIDO2-Standard,
bzw. das Absichern der nextcloud mithilfe eines "nitrokey".

https://nextcloud.com/blog/nitrokey-and ... te-clouds/

Mal sehen, vielleicht gelingt es mir ja, darüber einen neue "Sicherheitshürde" einzubauen ...

Antworten