Fail2Ban ich krieg mich nicht gebannt!

Bastiboy1985

New Member
Hallo, Community
Ich bin Basti, freue mich euch kennenzulernen :)

Hier mein Problem:

System:

OpenSuse11.1

und eingerichtet soll werden Fail2Ban

Ich habe nun in der Datei:
Code:
/etc/fail2ban/jail.conf
Folgendes eingefügt:

Code:
[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=meinemail@provider.de, sender=fail2ban@meinserver.de]
logpath = /var/log/sshd.log
maxretry = 3
So nach diesen Einstellungen und den Einstellungen etwas weiter oben:

Code:
findtime = 600 
bantime = 60
maxretry = 3
Also Sollte ein Hacker in 600sek. 3x einen Fehlversuch haben wird er für 1 Minute gebannt
(die 1 Minute ist nur für Testzwecke. und wird später Deutlich hochgesetzt.)

Aber Ich habe dann Probiert mittels SSH (Putty)
3 Fehlversuche zu starten
in dem Ich einfach 3x login Probiert habe mit einem X-Beliebigen Usernamen
nach dem 4. und den Folgenden Versuchen,
Konnte ich mich immer noch einloggen.
(Sowohl Fehlerhafte Logins, als auch Erfolgreiche Logins.)

Kann mir wer sagen wo der Fehler liegt?


Danke für die Hilfe


Grüße

Basti
 

z80

New Member
AW: Fail2Ban ich krieg mich nicht gebannt!

Nur mal so um das als Fehlerursache auszuschließen: Bei mir wird am Anfang der Konfiguration mit der Option ignoreip das ganze lokale Netzwerk für fail2ban ausgeblendet. Wenn dann die "Einbruchsversuche" zum Testen aus dem lokalen Netz kommen, passiert natürlich auch nichts.

Gruß - z80
 

Rain_Maker

Administrator
Teammitglied
AW: Fail2Ban ich krieg mich nicht gebannt!

Attacking Log Analysis tools

Nur mal zum Nachdenken.

Echte Sicherheit bieten diese Tools eh nicht, also wieso darauf Zeit verschwenden, die man (falls noch nicht passiert) sehr viel sinnvoller zur wirklichen Sicherung des Sytems verwenden könnte?
 

Bastiboy1985

New Member
AW: Fail2Ban ich krieg mich nicht gebannt!

bringt Fail2Ban den garnix?
ich mein wenn der/die Person gebannt ist für sagen wir 1-2 Std. nach 2 Versuchen ist doch zumindest die Menge der Angriffe minimalisiert?
 

Rain_Maker

Administrator
Teammitglied
AW: Fail2Ban ich krieg mich nicht gebannt!

Bastiboy1985 schrieb:
ich mein wenn der/die Person gebannt ist für sagen wir 1-2 Std. nach 2 Versuchen ist doch zumindest die Menge der Angriffe minimalisiert?
Und?

Was bringt das an Sicherheit?

Und es ist nicht die Person gebannt sondern eine IP (kannst ja mal ein wenig drüber grübeln, warum ich das so explizit schreibe).

Eine sichere Einrichtung (siehe irgendeines der wahrscheinlich Tausenden von Tutorials zu diesem Thema) Deines SSHD kann es nicht ersetzen, während bei einem sicher eingerichteten SSH-Server der Kram komplett unnötig ist.

Bastiboy1985 schrieb:
bringt Fail2Ban den garnix?
Was es mit Sicherheit bringt, ist mehr Komplexität im System und damit mehr potentielle Fehler sei es durch Bugs (siehe Link) oder Fehlkonfiguration/Fehlbedienung.
 

/dev/null

New Member
AW: Fail2Ban ich krieg mich nicht gebannt!

Hi Basti,

auch wenn ich für meine hier schon einmal geäußerte Meinung mächtig Dresche bezogen habe: eine nachgewiesene Erhöhung der Sicherheit deines Systems erreichst du weder mit fail2ban noch mit solchen Spielchen wie dem Verändern des für den sshd verwendeten Ports!
Ich schließe mich also in diesem Punkt voll und ganz der von Rain_Maker geäußerten Meinung an.

Aber trotzdem nutze ich fail2ban!
Nicht, um mir einen lediglich gefühlten Sicherheitsgewinn zu bereiten - auch eine gewisse Verzögerung ist für den Spielmatz zumindest lästig, einen echten Angreifer hält das aber nicht ab - sondern einfach, um das lästige Hintergrundrauschen in meinen Logs etwas zu dämpfen. Schaden kann ein Tool wie fail2ban kaum - aber "Sicherheit" gewinnst du nur durch strikte Anwendung der vielen entsprechenden Hinweise. Pflicht ist IMHO zumindest das Verbot der Anmeldung mit Benutzername und Passwort und dafür die ausschließliche Verwendung von asymmetrischen Schlüsseln.

Aber das war ja gar nicht deine Frage ... .

In welches Logfile werden (standardmäßig) die falschen Anmeldungen geschrieben? ==> /var/log/messages (zumindest bei openSUSE)
Und welches Log wertet dein fail2ban aus?
Code:
logpath = /var/log/sshd.log
Alles klar?

MfG Peter
 
Oben