update opensuse 12.1 -> 12.2 fail2ban

[bommel]

update opensuse 12.1 -> 12.2 fail2ban

Moin. Ich habe heute ein Update von 12.1 auf 12.2 durchgeführt, und eine Problem mit fail2ban [0.8.6-2.9.1].

Nach dem Update und dem Einspielen von Patches habe ich in der jail.conf wieder ssh-iptables aktiviert:

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com]
logpath  = /var/log/messages
maxretry = 3

Bem.: das sind dieselben Einstellungen, wie vor dem Update [das die Updates die jail.conf zerschießen, kannte ich schon]

Melde ich mich dann zum Testen von einem Rechner XYZ mit falschen Passwort an, geht der ganze Prozess soweit, dass die IP vom Rechner XYZ im /var/log/fail2ban.log mit BAN eingetragen wird; das wars aber:

* die IP ist nicht gebannt
* melde ich mich von einem zweiten Rechner mit falschen Passwort an, wird nichtmal mehr in /var/log/fail2ban.log geloggt

Bemerkung: in /var/log/messages wird noch geloggt [hatte schonmal ein Problem mit syslog-ng, dass er nicht mehr in /var/log/messages geloggt hat; ergo wurde nichts mehr geBANt; das ist es hier nicht].

Kennt jemand das Problem? Bzw.: hat jemand eine Idee, was ich testen könnte???

Gruß
Bommel

 

[bommel]

AW: update opensuse 12.1 -> 12.2 fail2ban

Edit: Er loggt doch nochwas:

2013-07-10 16:14:57,499 fail2ban.filter : INFO   Added logfile = /var/log/messages
2013-07-10 16:14:57,500 fail2ban.filter : INFO   Set maxRetry = 3
2013-07-10 16:14:57,500 fail2ban.filter : INFO   Set findtime = 600
2013-07-10 16:14:57,501 fail2ban.actions: INFO   Set banTime = 600
2013-07-10 16:14:57,531 fail2ban.jail   : INFO   Jail 'ssh-iptables' started
2013-07-10 16:14:58,054 fail2ban.filter : WARNING Unable to find a corresponding IP address for p54beb049.dip.t-dialin.net
2013-07-10 16:14:58,060 fail2ban.filter : WARNING Unable to find a corresponding IP address for p54beb049.dip.t-dialin.net
2013-07-10 16:16:12,621 fail2ban.actions: WARNING [ssh-iptables] Ban XXX.YY.ZZ.UUU
2013-07-10 19:45:06,483 fail2ban.filter : INFO   Log rotation detected for /var/log/messages
2013-07-10 19:45:07,484 fail2ban.filter : INFO   Log rotation detected for /var/log/messages

...nur BANnen tut er nischt :-(

 

[bommel]

AW: update opensuse 12.1 -> 12.2 fail2ban

Hmmmh; also... ...ich versteheh ja nichts so richtig davon, aber irgendwie scheint er keine "Drop"-Regel zu erstellen...
...stattdessen lauter "Return"-Regeln!?

Chain fail2ban-SSH (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere

Hat(te) jemand schonmal so ein Problem?

 

[bommel]

AW: update opensuse 12.1 -> 12.2 fail2ban

Wen es interessiert:

- Löschen und Neuinstallieren des Pakets hat nichts gebracht
- Habe jetzt aus einem "Security"-Repo http://download.opensuse.org/repositories/security/openSUSE_12.2/ eine [auf der fail2ban-Seite als nicht stabil/offiziell] gekennzeichnete Version 0.8.10 runtergeladen; mit der funktioniert alles. [Diese hat noch Pakete libgamin; python-gamin und python-pynotify mitinstalliert; fail2ban benutzt jetzt auch das pynotify-backend statt poller [was auch immer das ist]]

 

[bommel]

AW: update opensuse 12.1 -> 12.2 fail2ban

So, mein letzter Kommentar dazu: habe im Nachhinein nochmal die 0.8.10 deinstalliert, und wieder die offizielle 0.8.6 installiert... ...die funktioniert trotzdem nicht; benutzte jetzt die 0.8.10

 

[Rain_Maker]

AW: update opensuse 12.1 -> 12.2 fail2ban

....Diese hat noch Pakete ..... und python-pynotify mitinstalliert;

Sicher, daß dieses Paket so hiess?

War es nicht vielleicht so etwas wie "python-notify" oder "python-pyinotify"?

fail2ban benutzt jetzt auch das pynotify-backend statt poller [was auch immer das ist]]

Gefährliches Halbwissen meinerseits, aber wenn man sich die Beschreibung für "python-pyinotify" ansieht, dann

pyinotify relies on a recent Linux Kernel feature (merged in kernel 2.6.13)
called inotify. inotify is an [b]event-driven notifier[/b], its notifications are
exported from kernel space to user space.

könnte man vermuten, daß damit f2b nicht mehr selbst regelmässig (alle X Millisekunden o.ä.) nachfragen muss "ist gerade was passiert?" (das wäre AFAIK "polling") sondern von inotify benachrichtigt wird, wenn etwas passiert.

Greetz,

RM

 

[bommel]

AW: update opensuse 12.1 -> 12.2 fail2ban

Sicher, daß dieses Paket so hiess?

War es nicht vielleicht so etwas wie "python-notify" oder "python-pyinotify"?

Nein, nicht sicher. Und ja, ein "i" übersehen: es heißt "python-pyinotify". Bitte um Entschuldigung.

 

[Rain_Maker]

AW: update opensuse 12.1 -> 12.2 fail2ban

Naja, kein Grund sich zu entschuldigen, ich hatte nur nach dem genannten Paket gesucht und nichts gefunden und für Querleser dieses Threads wollte ich Klarheit schaffen.

Damit dürfte auch geklärt sein, was diese Änderung in neueren Versionen von f2b bedeutet.

Simpel ausgedrückt ist inotify ein Mechanismus im Linux-Kernel, welcher z.B. Anwendungen mitteilen kann, wenn sich Dateien ändern. Da f2b -soviel ich weiß- Logdateien auswertet kann man unter Verwendung von inotify dafür sorgen, daß die Anwendung benachrichtigt wird statt die Anwendung selbst regelmässig nachfragen zu lassen (="polling"), ob etwas passiert wäre.

Da f2b in python geschrieben ist, benötigt es sog. "bindings" für python, wenn es einen externen Mechanismus verwenden möchte, also eine Art Schnittstelle zwischen inotify und python, deshalb wurde das Paket "python-pyinotify" nachinstalliert, wobei man über die Sinnhaftigkeit des Namens streiten kann.

Solche Namen wie python-inotfy oder inotify-bindings-python wären IMHO aussagekräftiger, das "py"inotify verwirrt eher, aber das ist Ansichtssache, ausserdem sind Namen eh nur Schall und Rauch.

Greetz,

RM