openSuse 11.1 Server -- Fail2ban funktioniert nicht!

Hallo,

hab auf einem root-Server, den ich mitverwalte, versucht fail2ban zu installieren und zum Laufen zu bringen. Das Installieren hat einfach über yast (Packman) geklappt.
Danach habe ich die Konfiguration angepasst (/etc/fail2ban/jail.conf).

Wenn ich versuche fail2ban zu starten (etc/init.d/fail2ban start) kommt zwar ein "done", aber wenn ich dann mit etc/init.d/fail2ban status versuche den Status abzufragen, geht das nicht, weil fail2ban nicht läuft.

Dazu gibt es keine Fehlermeldungen (gar keine Meldungen) in /var/log/messages und /var/log/fail2ban.log

Habe es schon mit vielen anderen Konfigurationsmöglichkeiten probiert - kein Erfolg.

... woran kann das liegen?


Edit: Habe vergessen zu erwähnen, dass ich das gleiche Problem auf meinem Home-Server habe, der ebenfalls openSuse 11.1 benutzt. Bei dem ist nur nicht so tragisch, da ich ihn sowieso neu installieren werde und Ubuntu als Server-System einsetzen werde!

 

Und mit ssh den port geändert und die action auskommentiert?

Gruß
neppo

 

Welchen Port meinst du?
Und welche Action auskommentieren? Nicht gebrauchte Jails? Die braucht man nur bei enabled auf false setzen ...

 

Läuft ssh bei dir auf einem nicht-standardport? wenn ja, dann musst du das in der jail.conf/jail.local angeben unter "port =" im ssh-abschnitt angeben.

Ungefähr so:

[ssh]

enabled = true
port = 12345
filter = sshd
logpath = /var/log/auth.log
maxretry = 4

Gruß
neppo

 

Nein, SSH läuft auf dem Standardport (22).

 

Ok dann werde ich mal meine grauen Zellen bemühen.
Eigendlich ist fail2ban nur dazu da das die Logfiles nicht unnötig aufgebläht werden.
Sicherer wird der Server dadurch nicht.
Ok werd mal sehen ob mir da jetzt für Suse eine Lösung einfällt.

Gruß
neppo

Edit
Und Du kannst ja mal hier reinschauen.

http://www.fail2ban.org/wiki/index.php/FAQ_german

 

Naja man erreicht doch etwas Sicherheit für z.B. SSH, da *****force Attacken keine Chance mehr haben (in den meisten Fällen)

Habe in einigen Tutorials gelesen, dass es fail2ban mit openSuse 11 funktionieren soll, anscheinend bei 11.1 nicht ...


Danke, http://www.fail2ban.org/wiki/index.php/FAQ_german kenn ich schon, das hilft auch nicht weiter ...

 

Aber auch nur, weil es verhindern soll, dass weiterhin etwas vorkommt, was protokolliert werden müsste...

@theliquid:
Warum legst du den SSH-Daemon nicht einfach auf einen anderen Port?
Wenn dir das nicht reicht, nimm Denyhosts.

 

Port verlegen dürfte ich nicht so einfach (es greifen noch andere über SSH zu) und denyhosts habe ich auch schon probiert, das lässt sich nicht installieren, weil python2.5 fehlt. Das habe ich versucht zu installieren bzw. im Internet gesucht; erfolglos.
Opensuse benutzt die anscheinend nicht bzw. andere Version in anderem Verzeichnis und da spießt sich die Installation, aber ich versuch's mal selbst zu kompilieren.

Edit: So denyhosts funktioniert, nur leider wollte ich auch den apache-Schutz von fail2ban, gibts da ne ein ähnliches Programm dafür?

Bin nu aba erstma off, baba bis morgen^^

 

Kannst es mal mit Portbunny versuchen, das schlägt Alarm wenn Ports gescant werden, ist das einzigste was mir auf die schnelle einfällt.
Tja und ohne python 2.5 kein Fail2ban.
Ansonsten wirklich wie von der blöde vorgeschlagen auf ein anderen Port ausweichen.

Gruß
neppo

 

Naja das ist so ein Tool wie Portsentry, das brauch ich aber auf dem Server nicht, da alle Ports (ausgenommen 22 und 80) strikt per Firewall geschlossen sind

 

Was spricht denn wirklich dagegen?

 

@derblöde eigendlich nichts....währe die einfachste Lösung.

Gruß
neppo

 

Naja Sicherheit ansich bringt das dann auch nicht ... Wer den Port haben will, scannt einfach alle durch - und bei der Firewall, die eben nur die Ports offen hat, die benötigt werden kann dieser Portscanner auch nicht gebannt werden, weil für ein Tool wie Portsentry mehr Ports offen sein müssten.

Es geht jetzt auch nicht mehr um SSH, weil da habe ich ja denyhosts am laufen, sondern eher um Fail2ban, Apache2 und die Badbots-Sicherung.

 

Hä? Du hast doch gesagt, du brauchst portsentry auf deinem Server nicht (was übrigens stimmt!)?

Verwende deine Zeit lieber dafür, dich über Serversicherheit zu informieren, statt planlos nach irgendwelchen Tools zu suchen!
Fang z.B. mal hier, hier und hier an.

PS: Vor roher Gewalt schützen sichere Passwörter, anderen Kram braucht man da nicht!

 

Das kannst aber mit dem policy tool von Sun absichern.
Und meist werden nur die Standart Ports gescannt, bringt also schon was.

Gruß
neppo

 

Hm, naja danke. Eure Antworten zielen zwar an meiner Frage vorbei, dies liegt aber wohl daran, dass ich die Posts nicht eindeutig genug formuliert habe. (Ich habe z.B. Portsentry auch nur angesprochen, um zu sagen, dass ein Einsatz auf dem speziellen System keinen Sinn macht.)

Das ganze hat sich auch schon erledigt, und ja - ich habe Ahnung von Linux und Sicherheit.
Bezüglich dieser Tools denke ich, dass sie ein gutes zusätzliches Schutzmittel (zu einer guten Konfiguration) sind und dass sie durchaus Sinn machen!

 

Fail2ban geht nicht, bliebe noch DenyHost.

Gruß
neppo

 

Halte Grundregeln ein, wie bspw. hier beschrieben, insbesondere root aussperren, ansonsten zusätzliche Tools nur, wenn du genau weisst, wozu du sie brauchst und wie du sie konfigurierst.
Sicherheit erreicht man nur durch planvolles Handeln!