+ Antworten
Ergebnis 1 bis 7 von 7

Thema: Fail2Ban ich krieg mich nicht gebannt!

  1. 07.11.2009 23:38 #1
    Bastiboy1985
    Bastiboy1985 ist offline
    Newbie
    Registriert seit
    07.11.2009
    Beiträge
    3

    Standard Fail2Ban ich krieg mich nicht gebannt!

    Hallo, Community
    Ich bin Basti, freue mich euch kennenzulernen :-)

    Hier mein Problem:

    System:

    OpenSuse11.1

    und eingerichtet soll werden Fail2Ban

    Ich habe nun in der Datei:
    Code:
    /etc/fail2ban/jail.conf
    Folgendes eingefügt:

    Code:
    [ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=meinemail@provider.de, sender=fail2ban@meinserver.de]
logpath = /var/log/sshd.log
maxretry = 3
    So nach diesen Einstellungen und den Einstellungen etwas weiter oben:

    Code:
    findtime = 600 
bantime = 60
maxretry = 3
    Also Sollte ein Hacker in 600sek. 3x einen Fehlversuch haben wird er für 1 Minute gebannt
    (die 1 Minute ist nur für Testzwecke. und wird später Deutlich hochgesetzt.)

    Aber Ich habe dann Probiert mittels SSH (Putty)
    3 Fehlversuche zu starten
    in dem Ich einfach 3x login Probiert habe mit einem X-Beliebigen Usernamen
    nach dem 4. und den Folgenden Versuchen,
    Konnte ich mich immer noch einloggen.
    (Sowohl Fehlerhafte Logins, als auch Erfolgreiche Logins.)

    Kann mir wer sagen wo der Fehler liegt?


    Danke für die Hilfe


    Grüße

    Basti
    Zitieren Zitieren  
  2. 08.11.2009 00:25 #2
    z80
    z80 ist offline
    Newbie
    Registriert seit
    18.02.2006
    Ort
    Duisburg
    Beiträge
    25

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    Nur mal so um das als Fehlerursache auszuschließen: Bei mir wird am Anfang der Konfiguration mit der Option ignoreip das ganze lokale Netzwerk für fail2ban ausgeblendet. Wenn dann die "Einbruchsversuche" zum Testen aus dem lokalen Netz kommen, passiert natürlich auch nichts.

    Gruß - z80
    SUSE (seit '95), z. Zt. openSUSe 11.1, Athlon64 X2 4600+ AM2, GigaByte M61P-S3, 2GB
    Home-Server: openSUSE 11.0, Athlon X2 4850e (Stromsparvariante, seither ist's im Arbeitszimmer deutlich leiser und kühler ), 2GB + Onboard-Grafik
    Zitieren Zitieren  
  3. 08.11.2009 12:59 #3
    Bastiboy1985
    Bastiboy1985 ist offline
    Newbie
    Registriert seit
    07.11.2009
    Beiträge
    3

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    Nein das ist nicht der Fall.
    ignoreip = 127.0.0.1
    Es handelt sich um einen Ded. Server bei S4Y
    von daher wird nur der Lokalhost nicht gesperrt.
    Zitieren Zitieren  
  4. 08.11.2009 13:02 #4
    Rain_Maker
    Rain_Maker ist offline
    Administrator Avatar von Rain_Maker
    Registriert seit
    06.02.2006
    Beiträge
    5,458

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    Attacking Log Analysis tools

    Nur mal zum Nachdenken.

    Echte Sicherheit bieten diese Tools eh nicht, also wieso darauf Zeit verschwenden, die man (falls noch nicht passiert) sehr viel sinnvoller zur wirklichen Sicherung des Sytems verwenden könnte?
    "Programming today is a race between software engineers striving to build better & bigger idiot-proof programs and the Universe trying to produce bigger & better idiots. So far, the Universe is winning." (Rick Cook)

    Dies ist ein _öffentliches_ Supportforum, keinerlei Support per PN, EMail oder Instant Messenger.

    openSUSE 11.4 - 3.2.X-desktop - fluxbox 1.3.2

    For Windows-Problems - Reboot / For Linux-Problems - BE ROOT!
    (==> Und hier das wirkliche "Geheimnis meines Erfolges")
    Zitieren Zitieren  
  5. 08.11.2009 14:00 #5
    Bastiboy1985
    Bastiboy1985 ist offline
    Newbie
    Registriert seit
    07.11.2009
    Beiträge
    3

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    bringt Fail2Ban den garnix?
    ich mein wenn der/die Person gebannt ist für sagen wir 1-2 Std. nach 2 Versuchen ist doch zumindest die Menge der Angriffe minimalisiert?
    Zitieren Zitieren  
  6. 08.11.2009 14:15 #6
    Rain_Maker
    Rain_Maker ist offline
    Administrator Avatar von Rain_Maker
    Registriert seit
    06.02.2006
    Beiträge
    5,458

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    Zitat Zitat von Bastiboy1985 Beitrag anzeigen
    ich mein wenn der/die Person gebannt ist für sagen wir 1-2 Std. nach 2 Versuchen ist doch zumindest die Menge der Angriffe minimalisiert?
    Und?

    Was bringt das an Sicherheit?

    Und es ist nicht die Person gebannt sondern eine IP (kannst ja mal ein wenig drüber grübeln, warum ich das so explizit schreibe).

    Eine sichere Einrichtung (siehe irgendeines der wahrscheinlich Tausenden von Tutorials zu diesem Thema) Deines SSHD kann es nicht ersetzen, während bei einem sicher eingerichteten SSH-Server der Kram komplett unnötig ist.

    Zitat Zitat von Bastiboy1985 Beitrag anzeigen
    bringt Fail2Ban den garnix?
    Was es mit Sicherheit bringt, ist mehr Komplexität im System und damit mehr potentielle Fehler sei es durch Bugs (siehe Link) oder Fehlkonfiguration/Fehlbedienung.
    "Programming today is a race between software engineers striving to build better & bigger idiot-proof programs and the Universe trying to produce bigger & better idiots. So far, the Universe is winning." (Rick Cook)

    Dies ist ein _öffentliches_ Supportforum, keinerlei Support per PN, EMail oder Instant Messenger.

    openSUSE 11.4 - 3.2.X-desktop - fluxbox 1.3.2

    For Windows-Problems - Reboot / For Linux-Problems - BE ROOT!
    (==> Und hier das wirkliche "Geheimnis meines Erfolges")
    Zitieren Zitieren  
  7. 06.01.2010 07:47 #7
    /dev/null
    /dev/null ist offline
    Newbie
    Registriert seit
    07.01.2009
    Ort
    bei Bonn
    Beiträge
    4

    Standard AW: Fail2Ban ich krieg mich nicht gebannt!

    Hi Basti,

    auch wenn ich für meine hier schon einmal geäußerte Meinung mächtig Dresche bezogen habe: eine nachgewiesene Erhöhung der Sicherheit deines Systems erreichst du weder mit fail2ban noch mit solchen Spielchen wie dem Verändern des für den sshd verwendeten Ports!
    Ich schließe mich also in diesem Punkt voll und ganz der von Rain_Maker geäußerten Meinung an.

    Aber trotzdem nutze ich fail2ban!
    Nicht, um mir einen lediglich gefühlten Sicherheitsgewinn zu bereiten - auch eine gewisse Verzögerung ist für den Spielmatz zumindest lästig, einen echten Angreifer hält das aber nicht ab - sondern einfach, um das lästige Hintergrundrauschen in meinen Logs etwas zu dämpfen. Schaden kann ein Tool wie fail2ban kaum - aber "Sicherheit" gewinnst du nur durch strikte Anwendung der vielen entsprechenden Hinweise. Pflicht ist IMHO zumindest das Verbot der Anmeldung mit Benutzername und Passwort und dafür die ausschließliche Verwendung von asymmetrischen Schlüsseln.

    Aber das war ja gar nicht deine Frage ... .

    In welches Logfile werden (standardmäßig) die falschen Anmeldungen geschrieben? ==> /var/log/messages (zumindest bei openSUSE)
    Und welches Log wertet dein fail2ban aus?
    Code:
    logpath = /var/log/sshd.log
    Alles klar?

    MfG Peter
    Geändert von /dev/null (06.01.2010 um 07:53 Uhr)
    openSuSE 11.2, auf P4/2000, 2GB RAM und Notebook Samsung P560-PRO, 4 GB RAM.
    S/MIME, denn _ich_ will bestimmen, wer meine Mails lesen kann. Nebenbei: Ich mag kein ToFu!
    Schau hier: www.thunderbird-mail.de
    Zitieren Zitieren  
+ Antworten
« (Gelöst) Phishing Seite / Server erfolgreich angegriffen | - »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

     

Ähnliche Themen

  1. Fail2ban Installation
    Von cm im Forum Server-Sicherheit
    Antworten: 8
    Letzter Beitrag: 28.01.2007, 20:39
  2. (Debian) Fail2ban Installation
    Von cm im Forum Linux-Howtos
    Antworten: 3
    Letzter Beitrag: 28.01.2007, 20:39
  3. VNC mag mich net mehr !!!
    Von Snake4you im Forum Sonstiges-Server
    Antworten: 1
    Letzter Beitrag: 17.04.2006, 18:34
  4. Bevor ich mich ins Wochenende aufmache...
    Von Rain_Maker im Forum Smalltalk
    Antworten: 4
    Letzter Beitrag: 31.03.2006, 23:06

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87