fail2ban – SystemTechnics

Merker: Fail2Ban Status ausgeben

knut — Sat, 22 Jan 2022 14:05:20 +0000

Um schnell den Status aller Fail2Ban „Blocklisten“ auszugeben kann folgender Einzeiler verwendet werden:

fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status

MERKER: Fail2Ban Items in Zabbix erfassen

knut — Tue, 11 Jul 2017 12:25:05 +0000

Um Sperrungen von Fail2Ban mit iptables in Zabbix sichtbar zu machen kann wie folgt vorgegangen werden:

In dieser Anleitung gehe ich mal davon aus, dass fail2ban auf dem Server installiert und SASL, Courierauth und SSH „scharf geschaltet“ ist. Zusätzlich muss sudo installiert und konfiguriert werden.

aptitude install sudo

Anschließend in die Datei /etc/sudoers folgendes eintragen:

zabbix ALL=NOPASSWD: /sbin/iptables

Abspeichern und den Dienst neu starten.

/etc/init.d/sudo restart

Zuerst ein paar zusätzliche Parameter in die zabbix_agentd.conf einfügen:

echo "UserParameter=iptables.fail2ban-sasl[*],sudo iptables -L fail2ban-sasl |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf
echo "UserParameter=iptables.fail2ban-courierauth[*],sudo iptables -L fail2ban-courierauth |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf
echo "UserParameter=iptables.fail2ban-ssh[*],sudo iptables -L fail2ban-ssh |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf

Nun sollte der Agent neu gestartet werden.

/etc/init.d/zabbix-agent restart

In Zabbix selbst kann nun ein entsprechendes Template erstellt werden. Ich habe dies Template mal als Datei zbx_export_templates.xml hier abgelegt.

Das Template kann anschliessend den einzelnen Hosts (mit Mailer Postfix/Courier) zugewiesen werden und die Daten werden ab dem Zeitpunkt erfasst. Wer mag kann nun noch entsprechende Trigger konfigurieren.

fail2ban – Sperrung aufheben

knut — Fri, 11 Dec 2015 03:45:49 +0000

Sollte man sich (oder einen Kunden) fälschlicher Weise mit eine fail2ban Regel gesperrt haben, so kann man den entsprechenden „iptables“-Eintrag wie folgt via Bash entfernen.
Im Folgenden Beispiel gibt es eine Sperrung von https in der Kette „fail2ban-owncloud“

Hiermit sehen wir die entsprechenden Iptables-„Ketten“ und dessen Einträge

iptables -L --line-numbers

Es wird aus der „Kette“ fail2ban-owncloud der Eintrag 1 gelöscht und somit ist ein Zugriff via HTTPS für den Kunden wieder möglich

iptables -D fail2ban-owncloud 1

Fail2Ban und ownCloud (8)

knut — Sat, 05 Dec 2015 08:12:33 +0000

Um eine ownCloud Installation gegen Brute-Force Attacken abzusichern ist fail2ban eine sinnvolle Möglichkeit. Hier beschreibe ich in kurzer Form welche Schritte dafür notwendig sind.

Zuerst müssten wir die Konfiguration von ownCloud ein wenig anpassen. Diese finden wir im Unterordner von owncloud unter ./config/

pico ./config/config.php

und fügen folgende Zeilen hinzu

'logtimezone' => 'Europe/Berlin',
'logfile' => '/var/log/owncloud.log',
'loglevel' => '2',
'log_authfailip' => true,

Die Zeitzone sollte natürlich mit Ihrem Server übereinstimmen.

Nun folgt die Installation von Fail2Ban und anpassen diverser Konfig-Files.

aptitude install fail2ban -y
pico /etc/fail2ban/filter.d/owncloud.conf

Dort fügen wir nun folgende Zeilen hinzu:

[Definition]
failregex = {"reqId":".*","remoteAddr":"","app":"core","message":"Login failed: .*","level":2,"time":".*"}
ignoreregex =

Anschließend bearbeiten die die Datei /etc/fail2ban/jail.conf und fügen nachstehende Zeilen an das Ende der Datei hinzu:

pico /etc/fail2ban/jail.conf

[owncloud]
enabled = true
port = 80,443
protocol = tcp
filter = owncloud
maxretry = 5
logpath = /var/log/owncloud.log

Mit folgendem Befehl lässt sich noch schnell prüfen ob die „RegEx“ Wirkung zeigt. Dazu einmalig mit falschen Daten an der ownCloud anmelden und anschließend mit folgendem Befehl auf der Konsole prüfen:

fail2ban-regex /var/log/owncloud.log /etc/fail2ban/filter.d/owncloud.conf

Ist alles erfolgreich verlaufen kann man fail2ban einmal neu starten damit die Änderungen wirksam werden.

/etc/init.d/fail2ban restart