|
|
Zeile 50: |
Zeile 50: |
| Und natürlich eine genaue und klare Beschreibung des Problems. | | Und natürlich eine genaue und klare Beschreibung des Problems. |
|
| |
|
| == '''Installation''' ==
| |
|
| |
|
| === Gibt es RPM/DEB Pakete für Fail2Ban? ===
| |
|
| |
| Natürlich. Sie finden sie auf der [http://www.fail2ban.org/wiki/index.php/Downloads Downloads] Seite
| |
|
| |
| === Wie installiere ich Fail2Ban von einem RPM/DEB/Gentoo Paket? ===
| |
|
| |
| Wenn Sie rpm benutzen:
| |
|
| |
| rpm -Uvh fail2ban-X.X.X.rpm
| |
|
| |
| Wenn Sie die Anforderung haben ein src.rpm (Source Paket) zu installieren gehen Sie folgendermaßen vor:
| |
|
| |
| rpm --rebuild fail2ban-X.X.X.src.rpm
| |
|
| |
| Danach finden Sie das Binary rpm unter <tt>/usr/src/RPM/RPMS/ix86</tt>
| |
|
| |
| rpm -Uhv /usr/src/RPM/RPMS/ix86/fail2ban-X.X.X.rpm
| |
|
| |
| Bitte überprüfen Sie Ihre PATH Variable (<tt>/usr/src/RPM/RPMS/ix86/</tt>) bevor Sie etwas ändern.
| |
|
| |
| Fail2Ban von einem .deb Paket installieren:
| |
|
| |
| dpkg -i fail2ban-X.X.X.deb
| |
|
| |
| Fail2Ban unter Gentoo installieren:
| |
|
| |
| emerge fail2ban
| |
|
| |
| == '''Konfiguration''' ==
| |
|
| |
| === Was ist das Hauptkonfigurationsfile von Fail2Ban? ===
| |
|
| |
| Die Fail2Ban Konfiguration ist relativ einfach. Es gibt nur ein Konfigurationsfile in dem Fail2Ban insgesamt konfiguriert wird. Die Datei befindet sich unter <tt>/etc/fail2ban.conf</tt>
| |
|
| |
| Sie können jeden beliebigen Texteditor verwenden um die Datei zu bearbeiten: vim, emacs, joe, ae...
| |
|
| |
| Die Datei muss als '''root''' editiert werden.
| |
|
| |
| === Wie kann ich Fail2Ban konfigurieren? ===
| |
|
| |
| Dieser Schritt ist im Detail unter [[HOWTOs]] erklärt.
| |
|
| |
| === Kann ich bestimmte User Accounts davon ausschließen eine IP Sperre auszulösen? ===
| |
|
| |
| (I don't know, perhaps that's a feature request.)
| |
|
| |
| Da Fail2Ban nichts über Usernamen weiß ist dies nur möglich indem bestimmte User in der Regular Expression ausgeschlossen werden.
| |
|
| |
| == '''Security''' ==
| |
|
| |
| === Was muss ich bei der Benutzung von Fail2Ban beachten? ===
| |
| Besonders auf Systemen, die SSH/CGI/PHP Dienste an unbekannte Nutzer anbieten, ist es möglich, dass anderen Nutzern der SSH-Zugang oder andere Dienste blockiert werden. Dies kann passieren, indem der angreifende Nutzer folgendes ausführt:
| |
|
| |
| logger -p auth.warning -t 'sshd[123]' 'Illegal user user1 from 1.2.3.4'
| |
|
| |
| Weiterhin könnte der bösartige Nutzer mit Hilfe der PHP-Funktionen ''openlog()'' oder ''syslog()'' ins Syslog schreiben.
| |
|
| |
| '''Lösung #1:'''
| |
| Dieses Sicherheitsproblem kann umschifft werden, in dem man die Rechte von ''/dev/log'' anpasst, welches in der Grundeinstellung jedem Benutzer das Logging erlaubt. Dazu legt man eine Gruppe ''log'' an, fügt dieser Gruppe sämtliche Deamons hinzu und setzt die Rechte von ''/dev/log'' dahingehend, dass nur noch die Gruppe schreiben darf.
| |
|
| |
| == '''Troubleshooting''' ==
| |
|
| |
| === Ich habe Postfix installiert. Trotzdem existiert kein "mail"-Kommando. Wie kann ich Benachrichtigungen per Email erhalten? ===
| |
|
| |
| Wahrscheinlich kannst du auf deinem System das ''sendmail''-Kommando nutzen. Kopiere ''/etc/fail2ban/action.d/mail-whois.conf'' nach ''/etc/fail2ban/action.d/mail-whois.local'', öffne die Datei zur Bearbeitung und ersetze ''mail'' durch ''sendmail''.
| |
| Hier ein Beispiel:
| |
|
| |
| actionban = echo -en "From:root <fail2ban>
| |
| To: <dest>
| |
| Subject: [Fail2Ban] <name>: banned <ip>
| |
| Hi,\n
| |
| The IP <ip> has just been banned by Fail2Ban after
| |
| <failures> attempts against <name>.\n\n
| |
| Here are more information about <ip>:\n
| |
| `whois <ip>`\n
| |
| Regards,\n
| |
| Fail2Ban"|sendmail -t
| |
|
| |
| ''mail.conf'' kann auch verändert werden.
| |
|
| |
| === Warum wird mein CVS-Benutzer beim Benutzen von SSH geblockt? ===
| |
|
| |
| Wenn du die Eclipse-CVS-Integration mit SSH verwendest führt jeder Zugriff auf das CVS zu einem Fehler bevor ein gültiger Zugriff stattfindet. Als Konsequenz wird dein CVS-Benutzer von Zeit zu Zeit gebannt.
| |
|
| |
| === Ich bekomme die Fehlermeldung "Please check the format and your locale settings" ===
| |
|
| |
| Die Meldung sieht in etwa so aus:
| |
|
| |
| ERROR: time data did not match format: data=Mar 21 10:00:50 fmt=%b %d %H:%M:%S
| |
| ERROR: Please check the format and your locale settings.
| |
|
| |
| Das ist ein bekannter Bug. Seit der Version 0.6.1, benutzt {{Fail2ban}} deine lokalen Einstellungen des Datums- und Zeitformats. Wie auch immer, einige Unholde achten nicht auf die lokalen Einstellungen und schreiben ihre Lognachrichten, indem sie den POSIX-Standard benutzen. Sieh dir folgendes an [http://sourceforge.net/tracker/index.php?func=detail&aid=1457620&group_id=121032&atid=689044 bug], um mehr Informationen zu erhalten.
| |
|
| |
| Du könntest versuchen die LANG-Variable zu überschreiben:
| |
|
| |
| # LANG=en_US /etc/init.d/fail2ban restart
| |
|
| |
| Du kannst die verfügbaren lokalisieren mit:
| |
|
| |
| # locale -a
| |
|
| |
| === Wie bringe ich fail2ban dazu, mehr auszugeben? ===
| |
|
| |
| Um die Gesprächigkeit von {{Fail2ban}} zu erhöhen, geben Sie die Kommandozeilenoption '''-vvv''' für '''fail2ban-client''' und '''fail2ban''' an (nur Version 0.6.x). Setzen Sie die Variable '''loglevel''' in der Konfigurationsdatei ''/etc/fail2ban/fail2ban.conf'' auf '''4''' (nur Version > 0.6.x).
| |
|
| |
| === Es werden keine E-Mails versendet ===
| |
| Damit Fail2Ban E-Mails versendet, muss in der Konfigurationsdatei ''jail.conf'' eine Zeile geändert werden, damit E-Mails versendet werden.
| |
| # Choose default action. To change, just override value of 'action' with the
| |
| # interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
| |
| # globally (section [DEFAULT]) or per specific section
| |
| action = %(action_)s
| |
| Denn folgenden Eintrag umbenennen
| |
| action = %(action_mwl)s
| |
| Nachdem Neustart von fail2ban, ist die Änderung aktiv.
| |
|
| |
| === Fehlermeldung: ERROR Unexpected communication error ===
| |
|
| |
| Wenn fail2ban startet und beim abarbeiten jedes Jails erhalte ich die folgende Meldung:
| |
|
| |
| fail2ban.server : ERROR Unexpected communication error
| |
|
| |
| Fail2ban läuft bei mir unter Suse Linux 11.1
| |
|
| |
|
| |
| Unter Ubuntu 9.04 kommt ggf. der gleiche Fehler. Es liegt dort wohl an der python-version 2.6, nur dort kommt der Fehler.
| |
|
| |
| Nach Bearbeiten von '''/usr/bin/fail2ban-server''' sollte fail2ban funktionieren:
| |
|
| |
| ----
| |
| ''#!/usr/bin/python'''2.5'''''
| |
|
| |
| ''# This file is part of Fail2Ban.''
| |
|
| |
| ''....''
| |
| ----
| |
|
| |
| Dazu muss freilich python 2.5 installiert sein und unter /usr/bin/python2.5 liegen. Mit "'''which python2.5'''" kann geprüft werden, wo python2.5 liegt, falls es installiert ist.
| |
|
| |
| Sicherheitshalber sollte man '''/usr/bin/fail2ban-client''' und '''/usr/bin/fail2ban-regex''' auch auf python2.5 umstellen..
| |
|
| |
| === Fehlermeldung: ERROR Unexpected communication error ===
| |
| suse 9.3
| |
| Fail2ban ban'd nichts mehr ! alles offen !
| |
| nach einem "killall fail2ban-server"
| |
| und "/etc/init.d/fail2ban start funktionierte wieder alles !
| |
|
| |
| === Wieso erhalte ich E-Mails von Fail2Ban doppelt? ===
| |
| Debian / jail.conf: Revision: 281
| |
|
| |
| Beim Starten und Stoppen von fail2ban kann es unter Debian dazu kommen, dass die Benachrichtigungen darüber doppelt verschickt werden.
| |
|
| |
| ;Ursache
| |
| Die Action-Shortcuts ''action_mw'' und ''action_mwl'' verlinken auf die entsprechenden Action-Konfigurationsdateien. (Z.B. sendmail-whois.conf und auch sendmail-whois-lines.conf)
| |
|
| |
| Offenbar werden alle in diesen Shortcuts erwähnten Konfigurationsdateien beim Starten und Stoppen berücksichtigt, selbst wenn sie später nicht verwendet werden. Dadurch verschickt beispielsweise sendmail-whois.conf als auch sendmail-whois-lines.conf eine jeweils eigene Start-Stopp-Nachricht. Da diese Meldungen identisch sind, erscheinen sie doppelt.
| |
|
| |
| ;Lösung
| |
| Beide Zeilen des nicht verwendeten Action-Shortcuts in der jail.conf und ggf. auch in der jail.local auskommentieren:
| |
|
| |
| :''#action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]''
| |
| :''#%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]''
| |
|
| |
|
| [[Category:Documentation]] | | [[Category:Documentation]] |