Passwort-Geschütztes Verzeichnis & Fail2Ban --> keine Funktion

  • Hallo !


    Ich beschäftige mich aktuell mit " Fail2Ban ", setze ich Plesk ein, so wird die
    IP direkt nach X Fehleingaben gesperrt !


    Mittels LC & einer manuellen Fail2Ban Installation klappt es "irgendwie" nur
    mit dem " SSH Jail " !
    Laut LOG werden dort IPs geBANNED und unBANNED ...
    ... nur bei den passwortgeschützten Verzeichnissen klappt es nicht !
    ( die ich mittels LC angelegt habe ... )


    Hier ein Auszug meiner "jail.conf" :




    Hier mein Fail2Ban Status :


    Code
    Status
    |- Number of jail:      5
    `- Jail list:           apache, apache-overflows, apache-noscript, ssh, apache-multiport



    Wie immer bin ich für Eure Tips dankbar ... :o



    Gruß, Martin

  • Danke für die Rückmeldung !


    Obwohl ich jetzt den Eintrag um eine weitere "logpath" Zeile ergänzt habe,
    konnte keine Änderung bemerken !


    Werde mich daher also noch weiter mit dem Thema beschäftigen ... :o


    Gruß, Martin

  • Hallo,


    ich rate dringend davon ab, alle Kundenlogs in f2b durchsuchen zu lassen, das führt bei vielen webs nur dazu, dass f2b seinen Dienst einstellen und nicht mehr starten wird.


    Wir arbeiten mittlerweile mit einer großen zusätzlichen Logdatei für f2b. Das lässt sich bestimmt ausbauen.


    Hier mal kurz ein Beispiel.


    /etc/apache2/conf.d/other-vhosts-access-log
    # Define an access log for VirtualHosts that don't define their own logfile
    CustomLog ${APACHE_LOG_DIR}/other_vhosts_access.log vhost_combined
    CustomLog ${APACHE_LOG_DIR}/fail2ban_access.log combined


    /etc/fail2ban/jail.local
    ...
    [ssh]
    enabled = true
    port = ssh
    filter = sshd
    logpath = /var/log/auth.log
    maxretry = 10
    ...
    [apache-wplogin]
    enabled = true
    filter = apache-wplogin
    action = iptables-multiport[name=apache-wplogin, port='http,https', protocol=tcp]
    port = http,https
    logpath = /var/log/apache2/fail2ban_access.log
    maxretry = 30
    findtime = 180
    bantime = 86400


    /etc/fail2ban/filter.d/apache-wplogin.conf
    [Definition]
    failregex = <HOST>.*] "POST \/wp-login.php
    <HOST>.*] "POST \/xmlrpc.php
    ignoreregex =


    Das funktioniert bei uns ganz gut. Natürlich nicht so schön, dass man quasi 2 große access-logs laufen hat.

  • Wir haben für die xmlrpc.php Attacken auch fail2ban im Einsatz. Lassen allerdings alle Kundenlogs durchsuchen:


    logpath = /var/www/*/logs/access.log


    Bisher kein Problem damit. Man sollte am besten alle Logs vor dem Start von f2b leeren, sonst läuft der Prozess mit 100% ..



    Kein Wunder.. Es muss auch "logs" heißen und nicht "log" :p

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!